Eigene Zertifikate veröffentlichen

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

Eigene Zertifikate veröffentlichen

Dirk Paul Finkeldey
Hallo in die Runde,


Ich möchte in Zukunft eigene Zertifikate benutzen.

Das Problem was ich momentan habe ist folgendes :

Wie kann ich das eigene caccert als Zertifizierungsstelle so
veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
aufgenommen wird ?


Jede Form von Information dazu ist Wilkommen.


Gruß

Dirk



smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

Sven Hartge-5
Dirk Paul Finkeldey <[hidden email]> wrote:
> Ich möchte in Zukunft eigene Zertifikate benutzen.

> Das Problem was ich momentan habe ist folgendes :

> Wie kann ich das eigene caccert als Zertifizierungsstelle so
> veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
> aufgenommen wird ?

Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs ja
grundsätzlich unterlaufen.

Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
herunterladen und selbst einbinden kann.

Grüße,
S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

lists-mm
> Sven Hartge <[hidden email]> hat am 21. April 2020 um 09:19 geschrieben:
>
> Dirk Paul Finkeldey <[hidden email]> wrote:
> > Ich möchte in Zukunft eigene Zertifikate benutzen.
>
> > Das Problem was ich momentan habe ist folgendes :
>
> > Wie kann ich das eigene caccert als Zertifizierungsstelle so
> > veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
> > aufgenommen wird ?
>
> Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs ja
> grundsätzlich unterlaufen.
>
> Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
> herunterladen und selbst einbinden kann.

Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.
 
Ciao Marco!

Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

Sven Hartge-5
[hidden email] wrote:
> Sven Hartge <[hidden email]> hat am 21. April 2020 um 09:19 geschrieben:
>> Dirk Paul Finkeldey <[hidden email]> wrote:

>>> Wie kann ich das eigene caccert als Zertifizierungsstelle so
>>> veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
>>> aufgenommen wird ?
>>
>> Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs
>> ja grundsätzlich unterlaufen.
>>
>> Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
>> herunterladen und selbst einbinden kann.

> Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.

Mit welcher Intention?

S!
(Bitte keine Mailkopien von Antworten.)

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

Marco Maske-4
> Sven Hartge <[hidden email]> hat am 23. April 2020 um 17:37 geschrieben:
>
>
> [hidden email] wrote:
> > Sven Hartge <[hidden email]> hat am 21. April 2020 um 09:19 geschrieben:
> >> Dirk Paul Finkeldey <[hidden email]> wrote:
>
> >>> Wie kann ich das eigene caccert als Zertifizierungsstelle so
> >>> veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
> >>> aufgenommen wird ?
> >>
> >> Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs
> >> ja grundsätzlich unterlaufen.
> >>
> >> Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
> >> herunterladen und selbst einbinden kann.
>
> > Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.
>
> Mit welcher Intention?

Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) gültige Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Mit einem CAA-Record können MITM-Attacken zumindest deutlich erschwert werden. Bei Problemen mit der Zertifikatserstellung wird die fremde Zertifizierungsstelle, sofern unterstützt, eine E-Mail verschicken (iodef “mailto:[hidden email]”).

Ob der TA das nützlich findet, bleibt ihm überlassen. Daher hab ich explizit _evtl._ geschrieben. Schaden kann ein derartiger Eintrag jedenfalls nicht.

Ciao Marco!

Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

Sven Hartge-5
Marco Maske <[hidden email]> wrote:
> Sven Hartge <[hidden email]> hat am 23. April 2020 um 17:37 geschrieben:

>>> Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.
 
>> Mit welcher Intention?

> Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) gültige
> Zertifikate für eine bestimmte Domain oder Subdomain ausstellen
> dürfen. Mit einem CAA-Record können MITM-Attacken zumindest deutlich
> erschwert werden. Bei Problemen mit der Zertifikatserstellung wird die
> fremde Zertifizierungsstelle, sofern unterstützt, eine E-Mail
> verschicken (iodef “mailto:[hidden email]”).

Alles bekannt, aber wobei hilft Dirk das hier? Er hat ja keine CA.

Und Clients ist es explizit verboten, den CAA-Record auszuwerten.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: Eigene Zertifikate veröffentlichen

Marco Maske-4
> Sven Hartge <[hidden email]> hat am 26. April 2020 um 20:20 geschrieben:

> Alles bekannt, aber wobei hilft Dirk das hier? Er hat ja keine CA.
>
> Und Clients ist es explizit verboten, den CAA-Record auszuwerten.
>

Uh, sorry. Ich hab das falsch gelesen. "caccert als Zertifizierungsstelle"
Ich stelle mir meine Zertifikate bei CAcert.org aus.

Ciao Marco!