4
Man in the middle Zertifikat
Hi
Ich hab eine Verständnisfrage zu HTTPS Interception bzw. zum dafür notwendigen Zertifikat. Die Proxys die ich kenne erzeugen für jede Domain ein individuelles neues Zertifikat. Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen? Wird so ein Zertifikat von den Browsern abgelehnt? Hat ein Wildcard-Zertifikat Sicherheitsnachteile im Vergleich zu individuellen Zertifikaten?
Ich hab eine Verständnisfrage zu HTTPS Interception bzw. zum dafür notwendigen Zertifikat. Die Proxys die ich kenne erzeugen für jede Domain ein individuelles neues Zertifikat. Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen? Wird so ein Zertifikat von den Browsern abgelehnt? Hat ein Wildcard-Zertifikat Sicherheitsnachteile im Vergleich zu individuellen Zertifikaten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 468881
Url: https://administrator.de/contentid/468881
Printed on: April 19, 2024 at 06:04 o'clock
4 Comments
Latest comment
Guten Morgen,
Wildcard-Zertifikate sind für Subdomains - also *.administarator.de
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu
Dafür gibt es eigene Multidomain-Zertifikate.
Gruß
eisbein
Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen?
Wildcard-Zertifikate sind für Subdomains - also *.administarator.de
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu
Dafür gibt es eigene Multidomain-Zertifikate.
Gruß
eisbein
Moin,
ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.
Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).
Gruß
Looser
ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.
Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).
Gruß
Looser
Zitat von @Looser27:
Moin,
ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.
Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).
Gruß
Looser
Moin,
ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.
Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).
Gruß
Looser
Das ist so nicht ganz richtig. Du verteilst nicht das Proxy Zertifikat, sondern ein Root-CA-Zertifikat. Wenn der Client eine Webseite aufruft erzeugt der Proxy automatisch ein weiteres seitenspezifisches Zertifikat mit Hilfe des CA-Zertifikats. Mit diesem neuen Zertifikat wird dann der HTTPS Tunnel aufgebaut.
Zitat von @eisbein:
Guten Morgen,
Wildcard-Zertifikate sind für Subdomains - also *.administarator.de
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu
Dafür gibt es eigene Multidomain-Zertifikate.
Gruß
eisbein
Guten Morgen,
Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen?
Wildcard-Zertifikate sind für Subdomains - also *.administarator.de
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu
Dafür gibt es eigene Multidomain-Zertifikate.
Gruß
eisbein
Ich könnte aber genau so gut ein Zertifikat für *.de oder sogar * anlegen. Ich weiß aktuell nicht ob ein Browser so ein Zertifikat akzeptiert. Aber erzeugen kann ich es natürlich.
