expertenaustausch > linux.debian.user.german

Dirk Paul Finkeldey (21.04.2020, 07:40)
Hallo in die Runde,

Ich möchte in Zukunft eigene Zertifikate benutzen.

Das Problem was ich momentan habe ist folgendes :

Wie kann ich das eigene caccert als Zertifizierungsstelle so
veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
aufgenommen wird ?

Jede Form von Information dazu ist Wilkommen.

Gruß

Dirk
Sven Hartge (21.04.2020, 09:30)
Dirk Paul Finkeldey <dirk.finkeldey> wrote:
> Ich möchte in Zukunft eigene Zertifikate benutzen.


> Das Problem was ich momentan habe ist folgendes :


> Wie kann ich das eigene caccert als Zertifizierungsstelle so
> veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
> aufgenommen wird ?


Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs ja
grundsätzlich unterlaufen.

Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
herunterladen und selbst einbinden kann.

Grüße,
S!
lists-mm (23.04.2020, 15:30)
> Sven Hartge <sven> hat am 21. April 2020 um 09:19 geschrieben:
> Dirk Paul Finkeldey <dirk.finkeldey> wrote:
> Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs ja
> grundsätzlich unterlaufen.
> Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
> herunterladen und selbst einbinden kann.


Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.
Ciao Marco!
Sven Hartge (23.04.2020, 17:40)
lists-mm wrote:
> Sven Hartge <sven> hat am 21. April 2020 um 09:19 geschrieben:
>> Dirk Paul Finkeldey <dirk.finkeldey> wrote:



> Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.


Mit welcher Intention?

S!
(Bitte keine Mailkopien von Antworten.)
Marco Maske (26.04.2020, 20:10)
> Sven Hartge <sven> hat am 23. April 2020 um 17:37 geschrieben:
> lists-mm wrote:
> Mit welcher Intention?


Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) gültige Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Mit einem CAA-Record können MITM-Attacken zumindest deutlich erschwert werden. Bei Problemen mit der Zertifikatserstellung wird die fremde Zertifizierungsstelle, sofern unterstützt, eine E-Mail verschicken (iodef ?mailto:deine?).

Ob der TA das nützlich findet, bleibt ihm überlassen. Daher hab ich explizit _evtl._ geschrieben. Schaden kann ein derartiger Eintrag jedenfalls nicht.

Ciao Marco!
Sven Hartge (26.04.2020, 20:30)
Marco Maske <marcomaske> wrote:
> Sven Hartge <sven> hat am 23. April 2020 um 17:37 geschrieben:


>>> Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.


>> Mit welcher Intention?


> Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) gültige
> Zertifikate für eine bestimmte Domain oder Subdomain ausstellen
> dürfen. Mit einem CAA-Record können MITM-Attacken zumindest deutlich
> erschwert werden. Bei Problemen mit der Zertifikatserstellung wird die
> fremde Zertifizierungsstelle, sofern unterstützt, eine E-Mail
> verschicken (iodef ?mailto:deine?).


Alles bekannt, aber wobei hilft Dirk das hier? Er hat ja keine CA.

Und Clients ist es explizit verboten, den CAA-Record auszuwerten.

S!
Marco Maske (03.05.2020, 22:00)
> Sven Hartge <sven> hat am 26. April 2020 um 20:20 geschrieben:

> Alles bekannt, aber wobei hilft Dirk das hier? Er hat ja keine CA.
> Und Clients ist es explizit verboten, den CAA-Record auszuwerten.


Uh, sorry. Ich hab das falsch gelesen. "caccert als Zertifizierungsstelle"
Ich stelle mir meine Zertifikate bei CAcert.org aus.

Ciao Marco!
Ähnliche Themen