selbstsigniertes SSL-Cert und IE7

Tom030

Tom030

New Member
Hallöchen,

habe da mal ne Frage, nutze schon lange die Möglichkeit SSL mit eigenen Certifikaten, bisher auch "ausreichend". Zwar akzeptiert der Browser das Zertifikat nicht automatisch, aber wenigstens beschreibt die Warnmeldung realistisch und sachlich die Tatsachen, dass die Zertifizierungsstelle nicht bekannt ist.

Anscheinend aber nicht der IE7, der sagt klipp und klar":

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).

99% der Leute brechen hier ab. Dass MS schxxxx it kann man zwar sagen, bringt mich aber nicht weiter.

Kennt jemand mal ein Beispiel wo auch selbstsignierte Certs benutzt werden, wo ich das mal vergleichen kann?
Oder Habe ICH einen Fehler gemacht??

Hier mal die website um die es geht: --> https:// www. onlinebonus .de

Besten Dank an jedem dem was dazu anfällt, ich finde irgendwie gar nix dazu...
 
Hi Tom,

bei mir kommt diese Meldung auch bei jedem selbstsiginierten Cert... ich denke nicht dass Du was falsch gemacht hast, oder wir beide ;)

viele Grüße
Basti

PS: Einen Ausweg kann ich dir leider nicht bieten, da sign. Certs immer noch sau teuer sind :(
 
Das ist leider ein Problem des IE7. :rolleyes:
http://google.de/adsense erzeugt im IE7 selbige Meldung und das wohl nur weil das Zertifikat für google.com und nicht für google.de ausgestellt ist. ;)

Einfache Web-Standards schafft Microsoft nicht einzuhalten, aber wenns um Sicherheit bei Zertifikaten geht, wird jedes Bit geprüft. :mad:
 
Tom030 said:
99% der Leute brechen hier ab.
Click to expand...
Und das ist auch gut so! Das ist im Endeffekt besser gelöst, als bei anderen Browsern, bei denen die Nutzer versucht sind, den Warndialog einfach zu ignorieren. Diese Warnungen gibt es nicht ohne Grund!

DebianUser said:
Kennt jemand mal ein Beispiel wo auch selbstsignierte Certs benutzt werden, wo ich das mal vergleichen kann?
Click to expand...
Die Meldung wird (und soll!) immer erscheinen, wenn das Zertifikat von einer unbekannten CA ausgestellt wurde.

Wenn du die Warnung vermeiden willst, nutze entweder wie bereits erwähnt ein SSL-Zertifikat eines kommerziellen Anbieters, der in den entsprechenden Zertifikatssammlungen der Browser enthalten ist, oder lass deine Benutzer zuvor dein Root-Zertifikat herunterladen und importieren. Dann erscheint auch keine Meldung mehr.

Firewire2002 said:
Einfache Web-Standards schafft Microsoft nicht einzuhalten, aber wenns um Sicherheit bei Zertifikaten geht, wird jedes Bit geprüft. :mad:
Click to expand...
Alles andere wäre kompletter und fahrlässiger Blödsinn!

Bitte macht euch mal klar, wozu die SSL-Zertifikatsgeschichten gedacht sind...
 
Formulier ichs anders:
Natürlich sollte das vollständig überprüft werden, allerdings wie der IE7 darauf hinweist, ist nicht vertretbar.
Jeder dämliche Browser schaffts eine dezente Warnmeldung zu bringen, ohne dabei den User zu vergraulen, der IE7 nicht.

Natürlich soll die SSL/TLS Geschichte der Sicherheit dienen, dennoch sehe ich die Handhabe bei Websites zur Zeit ausschließlich als Abzocke.
Non-Profit Websites, Community Websites und was sonst noch alles kein Geld einbringt, sollen für eine Leistung zahlen, die sie auch selbst erbringen können.
 
Firewire2002 said:
Natürlich sollte das vollständig überprüft werden, allerdings wie der IE7 darauf hinweist, ist nicht vertretbar.
Jeder dämliche Browser schaffts eine dezente Warnmeldung zu bringen, ohne dabei den User zu vergraulen, der IE7 nicht.
Click to expand...
Ich sehe das anders: Die Art und Weise, wie es der IE 7 macht, ist die einzig richtige. Sie suggeriert einem unbedarften Benutzer nicht, dass es sich lediglich um eine nervende Meldung handelt, sondern dass tatsächlich etwas nicht stimmt.
Die Benutzer, die sich Zeit nehmen die Meldung zu lesen(!) können die Seite ja weiterhin auf eigene Verantwortung aufrufen.


Firewire2002 said:
Natürlich soll die SSL/TLS Geschichte der Sicherheit dienen, dennoch sehe ich die Handhabe bei Websites zur Zeit ausschließlich als Abzocke.
Click to expand...
Teilweise ja. Aber im Sinne der Vertrauenswürdigkeit (was ein wichitger Bestandteil von SSL/TLS ist) ist das unerlässlich. Eine Alternative bildet CACert.org mit seinem Web of Trust, allerdings muss man in diesem Fall auch dem Aussteller vertrauen.

Firewire2002 said:
Non-Profit Websites, Community Websites und was sonst noch alles kein Geld einbringt, sollen für eine Leistung zahlen, die sie auch selbst erbringen können.
Click to expand...
Nein, die Organisationen/Privatnutzer können lediglich für eine verschlüsselte Verbindung sorgen. Für die Vertrauenswürdigkeit der selbst-signierten Zertifikate können sie nicht garantieren. Und eben das bemängeln die Browser. Du kannst die verschlüsselte Verbindung ja trotz nicht vertrauenswürdigem Zertifikat (oder sogar inkorrektem Zertifikat) herstellen, sofern du die Warnung des Browsers ignorierst.
Oder du lässt die Benutzer einfach wie schon erwähnt vorher dein Zertifikat importieren und als unbedenklich einstellen, so dass diese keine Warnung erhalten.
 
Dann erklär mal deiner Oma die Ihr Apfelkuchen Rezept über einen SSL gesicherten Login anderen bereitstellen will, wie sie das Zertifikat importieren soll. :rolleyes:
Mal eben ein Zertifikat importieren, gehört vielleicht für unser eins zum Alltag, aber nicht für Otto-Normaluser, der nicht mal weiß was es mit dem Zertifikat überhaupt aufsich hat.

Und wenn dann noch solche bescheidenen Meldungen wie im IE7 erscheinen, dann kommt die restliche Welt nie an das Apfelkuchenrezept von Oma. ;)
 
Firewire2002 said:
Dann erklär mal deiner Oma die Ihr Apfelkuchen Rezept über einen SSL gesicherten Login anderen bereitstellen will, wie sie das Zertifikat importieren soll. :rolleyes:
Click to expand...
Wenn die Information, die abgerufen werden soll, schützenswert und für eine entsprechende Zielgruppe interessant ist, wird man ein SSL-Zertifikat nutzen, dessen Aussteller den verbreitetsten Browsern bereits bekannt ist.

Firewire2002 said:
Mal eben ein Zertifikat importieren, gehört vielleicht für unser eins zum Alltag, aber nicht für Otto-Normaluser, der nicht mal weiß was es mit dem Zertifikat überhaupt aufsich hat.
Click to expand...
Das Wegklicken von eigentlich kritischen Warnmeldungen gehört für den Otto-Normal-Benutzer allerdings zum täglichen Handwerk... :rolleyes:

Firewire2002 said:
Und wenn dann noch solche bescheidenen Meldungen wie im IE7 erscheinen, dann kommt die restliche Welt nie an das Apfelkuchenrezept von Oma. ;)
Click to expand...
Die Frage ist doch, ob der Abruf des Apfelkuchenrezepts von Oma überhaupt via HTTPS bzw. allgemein über eine SSL/TLS gesicherte Verbindung erfolgen muss...
 
Zumal CACert auch keine wirkliche Alternative ist, da deren Zertifikat von den meisten Browsern (Gut, ich weiß es jetzt nur bei Mozilla (Firefox, Thunderbird) genau) nicht mit inbegriffen ist. Bezüglich Mozilla gibts dazu ja ne lange offene Diskusion dazu.
 
Hallo,

Firewire2002 said:
Dann erklär mal deiner Oma die Ihr Apfelkuchen Rezept über einen SSL gesicherten Login anderen bereitstellen will, wie sie das Zertifikat importieren soll.
Click to expand...
wenn sie es schafft, einen Apfelkuchen zu backen und in's Internet zu stellen wird sie das mit dem Cert auch noch schaffen. ;)
 
traced said:
Ich finde es viel wichtiger dass die Verbindung verschlüsselt ist, was sie auch definitiv mit einem self-signed-cert ist!
Click to expand...
Das ist richtig. Im schlimmsten Fall ist dann allerdings deine Kommunikation mit einem Angreifer bei einer MITM-Attacke verschlüsselt...
 
Ja, aber die Authentizität ist auch wichtig. Bei einem MITM-Angriff nützt da die beste Verschlüsselung nichts, wenn der Herr Nutzer ein unvertrautes Zertifikat annimmt.
 
Wollt erst nicht glauben, das etwas schlimmer sein kann, als die Page im IE7. Aber was der Firefox 3 da macht ist heftig. :eek:
Der nächste Browser lässt den "Trotzdem Weiter" Button oder den "Ausnahme" Button wohl gleich weg. :rolleyes:
 
Last edited by a moderator:
Wenn du die Warnung vermeiden willst, nutze entweder wie bereits erwähnt ein SSL-Zertifikat eines kommerziellen Anbieters, der in den entsprechenden Zertifikatssammlungen der Browser enthalten ist, oder lass deine Benutzer zuvor dein Root-Zertifikat herunterladen und importieren.
Click to expand...

Die Geschichte mit der Sicherheit kommerzieller Anbieter glaube ich heute nicht mehr. Bei den Dumpingpreisen werden die Zertifikate nach einer sehr minimalen Prüfung des Antragsstellers ausgestellt. Das bringt also nichts.

Aber was der Firefox 3 da macht ist heftig.
Click to expand...

Naja, immerhin kann man eine "Ausnahme hinzufügen" und es steht genau beschrieben, was das Problem ist.
 
Die Oma die da die Funktion der Ausnahme nutzt, musst mir allerdings mal zeigen. :rolleyes:
Das verschreckt nicht nur 99% der Laien sondern 99,9%. :eek:
 
Aber die Fehlermeldung des Firefox ist finde ich aussagekräftiger. Aber egal, ich bleibe meinem IE7 treu :-)

lg
Basti
 
You must log in or register to reply here.
Back
Top