Wie kann man im nachhinein akzeptierte Zertifikate von denen unterscheiden, die der Browser automatisch akzeptiert?



  • Wie kann man im nachhinein manuell akzeptierte Zertifikate von denen unterscheiden, die der Browser automatisch akzeptiert, weil er von denen die CA Root Zertifikate standardmäßig mitliefert?

    Bsp:

    Das Zertifikat von Bank XY wird automatisch akzeptiert, da Browser XY dem CA Root Zertifikat Verisign vertraut und das Zertifikat der Bank XY von Verisign ausgestellt wurde.

    Surft man aber nun eine Webseite von Debian Hacker Blub an, dann bietet der, weil signierte Zertifikate von großen CA Root Zertifizierungsstellen teuer sind, ein selbstsigniertes Zertifikat an um wenigstens seinen Webseitenbesuchern eine verschlüsselte Kommunikation zu ermöglichen.
    Dieses kennt der Browser standardmäßig natürlich nicht, da die selbstsignierende CA Root Zertifizierungsstelle natürlich dem Browser standardmäßig nicht bekannt ist.
    Also wird der Nutzer beim Besuch der Webseite vor dem Zertifikat gewarnt.
    Der Nutzer klickt die Warnmeldung weg und akzeptiert somit das Zertifikat.

    Ein paar Jahre später hat er vergessen bei welchen Seiten er das alles gemacht hat.
    Frage, wie kann man diese Zertifikate von denen unterschieden, die der Browser automatisch akzeptieren würde weil für diese CA Root Zertifikate im Browser hinterlegt wurden?



  • Wie handhaben das die gängigen Browser?

    Also z.B. Firefox, Chrome, der IE usw.?

    Bietet irgendeiner die Möglichkeit an, solche Zertifikate so zu unterscheiden wie oben erwünscht?



  • Warum schaust du das nicht selber nach? Steht doch in der Zertifikatsverwaltung, eigene Zertifikate. Warum ist das so schwer? Jeder gängige Browser zeigt das an 🙄



  • rolleyes schrieb:

    Warum schaust du das nicht selber nach? Steht doch in der Zertifikatsverwaltung, eigene Zertifikate. Warum ist das so schwer? Jeder gängige Browser zeigt das an 🙄

    Eben nicht, guck doch erst mal in den Browser bevor du so etwas schreibst.
    Das ist das Problem!

    Firefox hat 5 Reiter:
    1. "Ihre Zertifikate" Sie haben Zertifikate dieser Organisationen, die Sie Identifizieren.

    2. "Personen" Sie haben Z. gespeichert, die diese Personen identifizieren

    3. "Server" Sie haben Zertifikate gespeichert, die diese Server identifizieren

    4. "Zertifizierungsstellen" Sie haben Z. gespeichert, die diese Zertifizierungsstellen identifizieren.

    5. "Andere" Sie haben Zertifikate gespeichert, die in keine der übrigen Kategorien passen.

    1, 2 und 5 sind nicht das Thema.

    Die interessanten Daten liegen in 3 und 4, aber genau da steht alles drin.
    Also nicht nur meine CA Root Zertifikate, sondern auch die, die der Browser schon mitliefert.
    Und genau das soll man unterscheiden können und das geht im aktuellen Firefox nicht, wenn man nicht weiß, welche Z. man irgendwann mal abgenickt hat.



  • Nachhinein schrieb:

    Bietet irgendeiner die Möglichkeit an, solche Zertifikate so zu unterscheiden wie oben erwünscht?

    Bei Chrome erscheint üblicherweise bei ungültigen Zertifikaten eine Warnmeldung. Klickt man dort auf "Trotzdem fortfahren" wird das Zertifikat allerdings nicht gespeichert, er merkt sich nur die Entscheidung die Seite trotzdem betreten zu wollen eine Weile (oder bis man den Browser schließt).
    Surft man die Seite später erneut an, muss man das ganze dort wieder bestätigen.


Log in to reply