SSL Zertifikate Allgemeine Fragen

[5ky]

Hallo,

ich habe die letzten Tage viel mit OpenSSL gespielt, nun Zertifikate für postfix und proftp erstellt und auch hinbekommen.

Nun meine Fragen. Hoffentlich nicht zu "Anfängermäßig":
1. Bei Days wurde hauptsächlich 365 eingetragen. Soweit ich gegoogelt habe, ist das die Gültigkeit des Zertifikats.
Was ist, wenn die Zertifikate ablaufen? Komm ich dann von heut auf morgen nicht mehr an meine Mails bzw. per FTP drauf? Was wenn ich den kompletten Apache, evtl auch die Shell damit versehe? Habe ich dann gar keinen Zugriff mehr wenn das Zertifikat abläuft?
2. Bei der Erstellung werde ich immer wieder nach PassPhrases gefragt. Sollte ich hier für jedes Zertifikat ein anderes Passwort verwenden? z.B. wurde für SMTP Postfix ein Passwortgeschütztes und ein Passwortloses erstellt:
*.crt
*.key
Was sagen mir diese beiden Endungen bzw. eine PEM Endung? Auch bei deren Erstellung habe ich immer wieder die gleiche Passphrase eingegeben. Ist das korrekt oder eher nicht so gut?

MfG
5ky

 

[Whistler]

1) Das ist veon der Applikation (z.B.. dem Mailclienten) abhängig.
Meist gibt es nur eine Warnung - und eine Frage "Sind Sie sicher?").
Neuere Software tendiert generell zu stärken Warnungen ("Sind Sie wirklich sicher?" - "Ja, ich kenne das Risiko.").

2) Du mußt die Dateien nicht mit einem Paßwort versehen (einfach leer lassen), wenn anders (z.B. über Verzeichnisschutz) sichergestellt ist, daß kein Unbefugter die Keydateien kopieren kann.

.PEM und .CRT ist nur ein Name, Du kannst auch .ZERTIFIKAT verwenden.

 

[5ky]

Okay dann nur noch eine Frage.

Was unterscheidet teure Zertifikate die ich einkaufe zu denen, welche ich mit openssl erstelle??? Da muss es ja logischerweise nen Unterschied geben sonst währ ja jeder . . . der welche kauft.

 

[Whistler]

Nur dadurch, daß die entsprechenden Zertifikate beim Internet Explorer oder Firefox schon mitgeliefert werden.
Dadurch werden sie für den Benutzer "vertrauenswürdig" - er muß sie nicht selbst installieren und daß Vertrauen "anhaken".

 

[5ky]

Aha. Aber bezüglich der Sicherheit sind beide Varianten gleich???

 

[vb-server]

Aha. Aber bezüglich der Sicherheit sind beide Varianten gleich???

ja

 

[LinuxAdmin]

Nein, denn bei einem selbst-signiertem Zertifikat kann der Benutzer nicht einfach entscheiden, ob es sich um das originale Zertifikat oder das eines anderen böswilligen Imitators handelt[1]. Solche Szenarien nennt man "man in the middle attack".

[1] es sei denn, es existiert ein vertrauenswürdiger Weg, um die Zertifikate zu übermitteln, was aber eher selten der Fall sein dürfte, wenn man den Herausgeber nicht persönlich kennt.

 

[vb-server]

Hi LinuxAdmin. Meine Antwort bezog sich auf die Sicherheit der übertragenen daten. Die verschlüsselung ist gleich sicher wie ein teures Zertifikat.

gruss
vb-server

 

[Whistler]

Man kann auch mit einem selbsterstellen Zertifikat andere Zertifikate unterschreiben.
Wenn man das Stammzertifikat auf einem sicheren Weg verteilt (es z.B. den "Roardwarriors" gleich mit auf dem Laptop vorinstalliert), kann man damit dann auch andere Zertifikate für verschiedenen Anwendungen (VPN, Mail, Weboberflächen) ausstellen.