horstvogel
Goto Top

Chrome Bestätigung Client Zertifikat dauerhaft zustimmen

Hallo einem Webserver läuft zur Zugriffsteuerung zusätzlich abgesichert mit einem Client Zertifikat, leider kann man anscheinend nicht die wiederholte Fragestellung bei Chrome abschalten. Bei Edge und dem Internet Explorer geht dieses hingegen. Das Zertifikat ist selbstverständlich auf dem jeweiligen Gerät schon installiert.
Leider läuft die Anwendung nur optimal auf Chrome, bzw. auf Android Geräten funktioniert das mit Client Zertifikaten anscheinend nur bei Chrome Browsern.


Oder man https://support.google.com/chrome/a/answer/6080885?hl=de tritt der Glaubensgemeinschaft von Google komplett bei.

Oder gibt es noch andere Möglichkeiten?

Danke, der Horst

2019-01-04 23_38_38-window

Content-Key: 397204

Url: https://administrator.de/contentid/397204

Printed on: May 22, 2024 at 14:05 o'clock

Mitglied: 137846
137846 Jan 05, 2019 updated at 07:46:46 (UTC)
Goto Top
Member: horstvogel
horstvogel Jan 05, 2019 at 08:10:02 (UTC)
Goto Top
Hallo Anwer,
vielen Dank. Für den PC ist das ja prima beschrieben. https://gist.github.com/IngussNeilands/3bbbb7d78954c85e2e988cf3bfec7caa

Für Android gibt dann vermutlich keine Lösung? Dank des richtigen Suchbegriffes von Dir, habe ich einfach nur Android angehängt und so nichts gefunden.

Danke! !!
Mitglied: 137846
Solution 137846 Jan 05, 2019 updated at 08:45:04 (UTC)
Goto Top
Zitat von @horstvogel:
Für Android gibt dann vermutlich keine Lösung?
Nein, das wäre auch Sicherheitstechnisch sehr bedenklich, denn so könnte dich jeder im Netz tracken und hätte automatisch ohne Permission Zugriff auf deine Identität, wenn man das nicht auf bestimmte Seiten eingrenzen könnte
https://bugs.chromium.org/p/chromium/issues/detail?id=445189
Alternative wäre sich eine eigene App für Android zu bauen.
Member: horstvogel
horstvogel Jan 05, 2019 updated at 08:54:51 (UTC)
Goto Top
Das mit dem tracken habe ich jetzt nicht verstanden. Auf meinem Android Client habe ich das Client Zertifikat installiert, der Zugriff auf meinen Web Server geht nur, wenn der Client das Zertifikat hat und danach auf dem Webinterface seine Zugangsdaten eingibt.
Mein Ziel wäre es, dass ich nicht immer beim Aufruf diese Zertifikat bestätigen muss.


Zitat von @137846:
Nein, das wäre auch Sicherheitstechnisch sehr bedenklich, denn so könnte dich jeder im Netz tracken und hätte automatisch ohne Permission Zugriff auf deine Identität, wenn man das nicht auf bestimmte Seiten eingrenzen könnte

Aber "jeder" hat doch nicht mein Zertifikat? Oder wäre/ist der Name des für jeden beim senden einsehbar und der könnte dann was mit dem Namen anstellen?
Eigentlich dachte ich, dass ich mit dem Client Zertifikat eine zusätzliche Sicherheit einbaue.

Danke!
Mitglied: 137846
137846 Jan 05, 2019 updated at 09:09:14 (UTC)
Goto Top
Zitat von @horstvogel:
Aber "jeder" hat doch nicht mein Zertifikat?
Indem man einen Webserver betreibt gegenüber dem man sich per Zertifikat ausweisen muss werden so Details des Zertifikats automatisch an die Seite übermittelt, und so eine Seite kann jeder Hinz aufsetzen und dich anhand der Zertifikatsdetails wie Hashes und common name tracken, du musst die Seite nur besuchen, denn du hast ja eingestellt das dein Zertifikat immer automatisch ohne Userprompt ausgewählt wird. Deswegen ist das nie eine gute Idee und sollte nur in vertrauenswürdigen Umgebungen eingesetzt werden mit denen man nicht auf Internetseiten zugreift.
Anfangen können die natürlich nichts mit dem öffentlichen Teil deines Zertifikats, aber zum tracken reicht es allemal.
Mitglied: 137846
137846 Jan 05, 2019 updated at 09:06:43 (UTC)
Goto Top
Eigentlich dachte ich, dass ich mit dem Client Zertifikat eine zusätzliche Sicherheit einbaue.

Tust du ja damit auch, aber die automatische Auswahl die von dir gewünscht ist ist eben das NOGO. Solange du das nur intern anwendest OK, sobald du aber mit so einem eingestellten Browser ins Internet schlenderst machst du dich eindeutig trackbar. Wenn es jemand darauf abgesehen hat.
Member: horstvogel
horstvogel Jan 05, 2019 updated at 09:30:41 (UTC)
Goto Top
Also Client Zertifikate sind keine zusätzliche Sicherheit? Aber ich dachte die enthalten ein zusätzliche Geheimnis, welches erst nach Aufbau der Verbindung ausgetauscht wird? Zuerst der Aufbau auf die https Seite meines Servers mit Letsencyrpt Zertifikat, dann kommt die Anfrage nach dem Client Zertifikat und dann werden erst die Informationen ausgetauscht und erst dann komme ich überhaupt an das Login Fenster.

So sieht das in meinem HAproxy aus. Somit wird das Client Zertifikat immer vorab abgefragt?
Allows Client.... ist angeschaltet, da am Frontend noch ein weiterer Web Server hängt, da

Danke!

2019-01-05 10_13_25-
Member: horstvogel
horstvogel Jan 05, 2019 updated at 09:36:57 (UTC)
Goto Top
Zitat von @137846:

Eigentlich dachte ich, dass ich mit dem Client Zertifikat eine zusätzliche Sicherheit einbaue.

Tust du ja damit auch, aber die automatische Auswahl die von dir gewünscht ist ist eben das NOGO. Solange du das nur intern anwendest OK, sobald du aber mit so einem eingestellten Browser ins Internet schlenderst machst du dich eindeutig trackbar. Wenn es jemand darauf abgesehen hat.
Es muss also nur jemand meinen Namen des Client Zertifikats verwenden und schon sende ich lustig meinen geheimen Schlüssel? Oder sendet der das von selber immer mit, bei jeder Anfrage... Wie machen das den Nextcloud und Outlook... da gibt's doch auch die Client Option. Die schränken also immer die Adressen ein?
Dann habe ich das vielleicht endlich verstanden face-wink.
Danke für Deine Mühe!!
Mitglied: 137846
137846 Jan 05, 2019 updated at 09:57:56 (UTC)
Goto Top
Zitat von @horstvogel:

Also Client Zertifikate sind keine zusätzliche Sicherheit?
Doch, du hast meine Antwort falsch interpretiert! Ein zweiter Faktor ist meist immer sicherer.
Mitglied: 137846
137846 Jan 05, 2019 updated at 10:40:48 (UTC)
Goto Top
Zitat von @horstvogel:
Es muss also nur jemand meinen Namen des Client Zertifikats verwenden und schon sende ich lustig meinen geheimen Schlüssel?
Quatsch! Les dich mal in das TLS Client Auth Verfahren ein.
https://blog.cloudflare.com/introducing-tls-client-auth/
Der private Key verlässt niemals den Rechner! Der Client schickt nur den öffentlichen Teil seines Zertifikates, damit der Server mit seinem eigenen private Key und deinem öffentlichen Teil verschlüsselte Nachrichten an den Client senden kann, und umgekehrt. Standard eines asymmetrischen Krypto-Verfahrens.

Oder sendet der das von selber immer mit, bei jeder Anfrage...
Nur wenn der Server einer Webseite Client-Zertifikate anfordert! Und du im Browser die obige Option zur automatischen Wahl setzt.
Wie machen das den Nextcloud und Outlook... da gibt's doch auch die Client Option. Die schränken also immer die Adressen ein?
Nein, es ist immer eine Frage ob eine Gegenstelle ein Client-Zertifikat anfordert. Der Browser zeigt dann entweder den Dialog zur Auswahl deines Zertifikats zur Auth, oder, so wie du das ja willst, jar nüscht!
D.h. Seite www.xxx.de fordert Client Auth per Zertifikat an, dein Browser ist so nett und macht das automatisch ohne das der User das direkt mitbekommt. Kapische?

Das Tracking per Client-Zert ist aber nicht weit verbreitet da kaum ein Otto-Normalo-User Client-Zertifkate im Browser eingebunden hat und der Dialog ja aufpoppt. Ist aber wie du siehst möglich wenn man die falschen Schalter zur Übermittlung setzt.
Member: horstvogel
horstvogel Jan 05, 2019 at 11:04:03 (UTC)
Goto Top
Ok, also machen das Nextcloud (mit Ihrer Desktop App, siehe Bild) und Outlook etwas anders.
Die schränken also immer die Adressen also immer ein, wie im Bild wird also das Zertifikat mit der Serveradresse "verknüpft". Das ist in einem Browser dann nicht möglich? Bzw. ist das bei der Nextcloud App auch nicht wirklich optimal? Natürlich auch nicht optimal das überhaupt die App das Passwort speichert, besser ist selbstverständlich das man beides bestätigt.
Der Browser "sendet" dann auf Anfrage dann aber schon nicht alle "Zertifikate", sondern nur das passende, da er hier nachfragt. Oder sendet er dann einfach alle Client Zertifikate die er hat?
Ein schönes Wochenende noch und Danke!!!


2019-01-05 11_44_04-nextcloud verbindungsassistent



2019-01-05 11_44_04-nextcloud verbindungsassistent
2019-01-05 11_56_43-
Mitglied: 137846
137846 Jan 05, 2019 updated at 11:18:28 (UTC)
Goto Top
Zitat von @horstvogel:

Ok, also machen das Nextcloud (mit Ihrer Desktop App, siehe Bild) und Outlook etwas anders.
Ist ja auch ne App die kann das machen wie sie will.
Die schränken also immer die Adressen also immer ein, wie im Bild wird also das Zertifikat mit der Serveradresse "verknüpft". Das ist in einem Browser dann nicht möglich?
Per Default, Nein. Mit Drittanbieteraddons möglicherweise.
Der Browser "sendet" dann auf Anfrage dann aber schon nicht alle "Zertifikate", sondern nur das passende, da er hier nachfragt.
Alle werden sowieso nicht gesendet das unterdrücken des Dialogs funktioniert nur wenn es ein einzelnes Zertifikat im Store gibt oder man definiert das immer nur ein bestimmtes per als Default gesendet wird wenn der Server eine Anfrage stellt.
Und nochmal, es wird immer nur der öffentliche Zeil des Zertifikats übermittelt, niemals der private Teil!! Und ohne den privaten Teil ist das nutzlos. Nur die öffentlichen Informationen des Certs wie Common-Name Hash etc. sind da drin, und nur mit denen kann dass Gegenüber arbeiten, dich also z.B. als eindeutigen User identifizieren.

Les dir doch mal bitte die Grundlagen zur RSA Auth von oben durch dann wird auch dir das klar.

Ein schönes Wochenende noch und Danke!!!
Gleichfalls