Der Zweck von SSL ist die sichere Kommunikation zwischen einem Client und einem Server. Ich habe nun über Plesk ein SSL Zertifikat erstellt und dieses selbst signiert. Die Browser laufen Amok. In riesigen Lettern steht dort, daß das Zertifikat nicht vertrauenswürdig sei. Chrome macht dies besonders deutlich; gebe ich meine Domain mit HTTPS ein, erscheint ein rot hinterlegter Hinweistext, daß dieses Zertifikat nicht vertrauenswürdig sei. Anschließend wird das Schloß mit einem roten Kreuz versehen und HTTPS angezeigt und bewußt rot durchgestrichen, wenn ich trotzdem fortfahre. Aber wenigstens zeigt Chrome an, daß die Verbindung mit 256 Bit verschlüsselt ist. Zahlt man nun für ein Zertifikat eine nicht geringe Summe, erscheint diese Meldung nicht und ein grüner Balken taucht auf. Vertrauenswürdig. Der Zweck des SSL-Zertifikates - die Verschlüsselung des ausgetauschten Informationsgehaltes - ist damit nicht abgedeckt, man zahlt quasi für nichts. Früher habe ich das System nie als Anbieter verwenden müssen, heute wird mir klar, wie perfide dieses Zusammenspiel zwischen Browserprogrammierern und Zertifikatsherstellern ist. Ganz zu schweigen davon, daß die pauschale Titulierung als "nicht vertrauenswürdig" abmahnfähig ist - ich spreche da aus Erfahrung. Man könnte jetzt ewig darüber diskutieren, aber letztenendes sind diese Nachrichten den potentiellen Kunden ausreichend, um meine Firma als tatsächlich nicht vertrauenswürdig einzustufen, weil sie nicht wissen, was Zertifikate eigentlich bedeuten. Wenn mir mein Browser anzeigt, daß eine Seite nicht vertrauenswürdig ist, dann besuche ich sie natürlich nicht weiter. Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist. Wie könnte ich diese Seite formulieren, so daß der Nutzer bei gerade meiner Seite diese Warnung überspringt? Oder sollte ich einfach komplett auf die Verschlüsselung verzichten, nachdem dann auch keine Warnung erscheint und die wenigsten Nutzer auf HTTPS vermutlich achten. Ich habe mir natürlich darüber bereits weitere Gedanken gemacht, will diese aber nicht weiter nennen, da ich die Ergebnisse nicht beeinflussen möchte.
:
Verschoben durch Admin
Sucher schrieb: > Der Zweck des SSL-Zertifikates - die Verschlüsselung des ausgetauschten > Informationsgehaltes - ist damit nicht abgedeckt, man zahlt quasi für > nichts. Das ist nicht der alleinige Zweck. Authentifizierung ist genau so wichtig, denn sonst gäbe es keinen Schutz gegen Man in the middle - Attacken.
Wieso zahlt man für nichts? Du zahlst für die Authentifizierung. Genau dafür sind Zertifikate da. Ansonsten könnten man einfach einen unsignierten DH-Austausch machen und hätte eine verschlüsselte Verbindung. Verschlüsselung ohne Authentifizierung bringt dir aber gar nichts weil du nicht weißt mit wem du Infos austauscht. Deine Idee mit der vorgeschalteten Webseite ist kompletter Quatsch. gruß cyblord
Sucher schrieb: > Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite > zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist. Genau dieses Verhalten ist es, was dazu führt, dass User dazu konditioniert werden, die durchaus wichtigen Zertifikatswarnungen zu ignorieren. Dass teilweise selbst Banken solche Anweisungen verwenden macht die Sache nicht besser. > Wie könnte ich diese Seite formulieren, so daß der Nutzer bei gerade > meiner Seite diese Warnung überspringt? So wie der böse Wolf nach dem Kreidefressen den Geißlein versichert, nicht der Wolf zu sein. Du willst den einzigen Mechanismus umgehen, der dazu geeignet ist, dem User die Identität des Servers zu beweisen. Und dann willst Du Deine Identität glaubhaft machen. Fail. > Oder sollte ich einfach komplett auf die Verschlüsselung verzichten, > nachdem dann auch keine Warnung erscheint und die wenigsten Nutzer auf > HTTPS vermutlich achten. Und die, die darauf achten machen einen großen Bogen um die Seite, spätestens wenn es um z.B. Zahlungsabwicklung geht. Aber ja, Du solltest auf SSL verzichten, das wäre ehrlich. Denn mit dem selfsign-Müll täuschst Du nur Sicherheit vor. Verschlüsselung ohne Authentifizierung ist wertlos. Die Browser haben recht: selbst signierte Zertifikate sind nicht im geringsten vertrauenswürdig. Bleibt zu hoffen, dass irgendwann die Möglichkeiten zum Ignorieren dieser Warnungen abgeschafft werden. Wenn Du mit der Seite Geld verdienen willst, musst Du diese Kosten eben einplanen. Wenn das Ganze nichtkommerziell ist, besorg Dir wenigstens ein Zertifikat von CAcert.org das kostet nichts und wenigstens müssen User die wissen was sie tun dann nur EIN Zertifikat installieren, statt einem für jede Seite mit selbstsigniertem Schrott.
Sucher schrieb: > Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite > zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist. Dann weiss jeder Kunde, dass du dir das Geld fuer ein anstaendig signiertes Zertifikat sparen willst und sucht sich moeglicherweise einen anderen Anbieter. Wie Uhu Uhuhu schon bemerkt hat, ist nicht die Verschluessung der Unterschied, sondern die Authentizität. Wenn ueber deine Webseite Kreditkarteninformationen uebertragen werden, wer garantiert dem Anwender, dass er wirklich in deinem Webshop ist ?
Ich finde den Abschnitt "Bitte um Beleidigung und Hinweis, wie dumm mein Anliegen ist" nicht, worauf die Antworten gegeben werden.
Wenn das Geld für das Zertifikat ein Problem ist: http://www.startssl.com/ Dort gibts die Zertifikate kostenlos und die werden trotzdem von fast allen Geräten akzeptiert.
Du könntest ja auch einfach dein Zertifikat online stellen, dann können es die leute als Vertrauenswürdig einspielen und schon ist die Rote meldung weg. Wir machen das auch in der Firma so, dort aber mit Client und Server Zertifikaten. Wir haben uns einfach ein eigenen Root anglegt und dieses spielt der Kunde bei sich ein. Danach kann er ohne fehlemeldung auf unsere Server zugreifen.
Marcus Kunze schrieb: > Du könntest ja auch einfach dein Zertifikat online stellen Ist aber Unsinn. Das Zertifikat hat der "Browser" ja man müßte die Echtheit halt prüfen über den Hash welchen man über einen "sicheren" Kanal erhalten hat. Sucher schrieb: > Der Zweck des SSL-Zertifikates > - die Verschlüsselung des ausgetauschten > Informationsgehaltes Für die Verschlüsselung ist kein Zertifikat verantwortlich, der Zweck ist das sicherstellen einer vertraulichen Kommunikation. Sucher schrieb: > ich spreche da aus Erfahrung Uhhhhhhhhhh.... Dan verklag doch Mozilla und Microsoft das sie das für DEINE Server den Warnhinweis ausblenden. Sucher schrieb: > Zahlt man nun für ein Zertifikat eine nicht geringe Summe Echte Zertifikate gibt es ab 19 € das sind knapp 1,60€ pro Monat, wenn es dir das nicht wert ist verzichte halt drauf, aber eine Pseudosicherheit vorzutäuschen macht keinen Sinn. Viele Anbieter haben auch eine extra SSL Adresse über welche man die Domain per SSL erreichen kann ohne "Warnhinweis" dafür aber auch ohne Authetizität.
>Wie Uhu Uhuhu schon bemerkt hat, ist nicht die Verschluessung der >Unterschied, sondern die Authentizität. Wenn ueber deine Webseite >Kreditkarteninformationen uebertragen werden, wer garantiert dem >Anwender, dass er wirklich in deinem Webshop ist ? Zumindest weis man aber nach ein paar Tagen, das noch der Selbe dahinterhängt, wenn das Zertifikat gleich bleibt (sofern er nur Umleitet und nicht komplett eingebrochen ist) Damit hat man nur noch das Risiko, bei ersten Betreten der Seite etwas gefälschtes abzubekommen (Wenn wir mal davon ausgehen, das die Originalseite recht schnell wieder Online geht). Alle, die die Seite im Originalzustand betreten und das Zertifikat Akzeptiert haben, werden gewarnt, wenn es sich ändert. - Dann allerdings herauszufinden, ob die Änderung vom Besitzer der Seite ist, ist zugegebenermaßen nicht möglich...
Gerd E. schrieb: > Wenn das Geld für das Zertifikat ein Problem ist: > http://www.startssl.com/ Da steht 1 Jahr gültig. Was mache ich nach dem Jahr, muß ich dann ein Zertifikat von denen kaufen?
Sucher schrieb: > Da steht 1 Jahr gültig. Was mache ich nach dem Jahr, muß ich dann ein > Zertifikat von denen kaufen? Nö. Dann holst du ein neues, falls es startssl dann noch gibt.
Ich sehe ein, dass mein letzter Post vielleicht "nicht ganz so formuliert war, wie er hätte sein sollen"... Dein grundsätzliches Anliegen ist verständlich und durchaus berechtigt. Mafiajägers Aussage > Warum sollte man die SSL Mafia weiter unterstützen ? würd ich so durchaus auch unterschreiben. Der Beißreflex richtete sich gegen den vorgeschlagenen Lösungsansatz. Das aus Erfahrung als Admin, der sich regelmäßig die Hände über dem Kopf zusammenschlägt, wenn User ohne technisches Hintergrundwissen leichtsinnig und vollautomatisiert die diversen Warnungen wegklicken. In diese Wunde hast Du vermutlich ohne den geringsten Hauch böser Absicht geschlagen. Sorry, hätte ich sachlicher machen sollen. Ja, es gibt da ein grundsätzliches Problem, wie SSL auch festgestellt hat: > Hast du schon mal in deine Root-CA Liste im Browser gesehen wem du da > vertraust ? > > Sinnvoll wäre es aus meiner Sicht, das "Vertrauen" feiner abzustufen. Volle Zustimmung. Sollte es eine Lösung geben, die das Problem der Authentifizierung löst, ohne auf eine PKI-Struktur mit all ihren Auswüchsen angewiesen zu sein, wie sie derzeit existiert, wäre das fantastisch. Ansätze, die auf ein Web of Trust o.ä. setzen, sind leider mit der Mehrzahl der normalen Anwender nicht zu machen. Aus reinem pragmatismus und nur deshalb plädiere ich daher dafür, solange das eben so ist, bitte bitte bitte in den sauren Apfel zu beißen anstatt das bisschen Sicherheit, das wir haben, durch ein weiteres "bitte die Warnung ignorieren" zu untergraben. Malte
Das der Threaderöffner es für nötig hält, unter Pseudonym beleidigend zu werden, habe ich den Thread geschlossen.