Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Alle Root Zertifikate werden als nicht vertrauensvoll eingestuft

Mitglied: jackjack

jackjack (Level 1) - Jetzt verbinden

23.11.2011 um 11:30 Uhr, 4255 Aufrufe, 7 Kommentare

Hallo zusammen!

Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten

und zwar geht es um folgendes:

Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.

Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten

Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden

Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?

Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.

Ich freue ich auf eure Unterstützung!
Mitglied: AndiEoh
23.11.2011 um 13:00 Uhr
Nennt sich "MitM". In manchen Umgebungen ist https bzw. dessen Nebenwirkungen (Tunnel, nicht per Virenscanner prüfbar) "unerwünscht". Deshalb gibt es Proxy Server die auch https "unterbrechen" um den Inhalt prüfen zu können. Da der Proxy i.d.R. keine gültigen SSL Zertifikate für die angesteuerten Webseiten hat weißt dich dein Browser mit recht auf die Sicherheitslücke hin. Die Seiten als "vertrauenswürdig" einzustufen ist verkehrt, da du damit dem Proxy vertraust und nicht der Seite. Wenn es nun wieder funktioniert kann es drei Gründe haben:
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt

Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 13:22 Uhr
Hallo!

Vielen Dank für die aufklärenden Worte!
Besonders den 2. Punkt den du angesprochen hast sehe ich auch sehr kritisch. Würde das den funktionieren das der proxy auf den Client PC's einfach ein Root Zertifikat ohne Bestätigung des Nutzers ablegt? (Es gibt zwar einen DC/AD aber nicht alle Clients sind dort integriert, meine PC's auch nicht) Und soweit ich weiß muss ich Root Zertifikate immer bestätigen.

Gibt es den irgendwie eine Möglichkeit das zu überprüfen ob meine Zertifikate noch gültig bzw vertrauenswürdig sind oder ob ich so ein Root Zertifikat "untergeschoben" bekommen habe?

Und desweiteren von meinem Verständnis her sollte die openVPN Verbindung aber auf jedenfall noch sicher sein da ja hier die Zertifikate auf Server sowie Client vorher schon ausgetauscht wurden?
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 13:47 Uhr
Die Möglichkeit Root Zertifikate unbemerkt unterzuschieben gibt es nur in "Managed" Umgebungen also z.B. für Mitglieder einer Windows Domain. Prüfen lässt sich das indem man den Windows Zertifikatsstore vergleicht, oder im Falle des Proxy das Zertifikat der Webseite prüft bzw. den Austeller des Zertifikates. Falls du es mit der Sicherheit wirklich ernst meinst solltest du sowieso den Zertifikate Store deines Browsers/Betriebssystems durchgehen und abgleichen ob der Hersteller und du gleicher Meinung sind über "vertrauenswürdig". Ob man z.B. Root CAs aus mehr oder minder totalitären Staaten vertrauen sollte ist Geschmackssache.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 14:14 Uhr
ok dann mach ich mir mal keine Sorgen das ich irgendwelche Zertifikate untergeschoben bekommen habe. ich werde heute Abend mal meine Root Zertifikate durchsehen und deinem Ratschlag folgen mit zu überlegen wem ich "vertraue" und nicht.

Ich hab mich auch mal etwas in die MitM proxy Sache reingelesen und dort stand auch das man das über den Aussteller des Zertifikates herausfinden kann. Ich werde in nächster Zeit etwas genauer hinsehen von wem die Zertifikate ausgestellt sind.

Vielen Dank auf jedenfall das du mich auf die richtige Spur gebracht hast, hab ich wieder was gelernt heute
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 15:46 Uhr
Beitrag als "gelöst" markieren...?
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 20:11 Uhr
danke hab ich gemacht!

ich hab heute übrigens zuhause nachgeschaut in meinen Zertifikaten und ich habe ja wie gesagt gestern einmal die "Ausnahme hinzufügen" gemacht und das Zertifikat war wirklich wie du gesagt hast so ein MitM Zertifikat das von dem proxy erstellt wurde (Panda Gate Defender). Hab in der Anleitung von der Software auch nachgelesen und die Software "preist" diese tolle Funktion auch noch an. Auf jedenfall habe ich die Zertifikate mal als "Beweis" gesichert und danach gelöscht (und nebenbei noch wie von dir vorgeschlagen auch noch ein paar Root CAs)

Also im Moment scheint das mit dem Internet hier wieder ohne Probleme zu funktionieren aber meine Kommilitone haben mir von ähnlichen Probleme den Tag über berichtet also scheinen die Administratoren da wieder dran "rumgespielt" zu haben...

Wie du schon in deinem ersten Post geschrieben hast, "Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich." bin ich der gleichen Meinung und würde es nicht für so toll finden wenn hier in der Uni der ganze SSL Verkehr überwacht werden würde. Wie sieht das den rechtlich mit dieser Situation aus? Ist sowas eigentlich erlaubt?

Ich würde mich noch über deine Einschätzung sehr freuen!
Bitte warten ..
Mitglied: AndiEoh
24.11.2011 um 10:23 Uhr
Im Firmenumfeld wäre es u.U. möglich wenn die Privatnutzung per Arbeitsvertrag ausgeschlossen ist und wenn diese Massnahme den Mitarbeitern klargemacht wird (von den Mitarbeitern unterschriebene Richtlinie). Ob der Betriebsrat zustimmen muß oder nicht kann ich jetzt nicht sicher sagen, wie das an einer Uni zu bewerten ist auch nicht. Da allerdings auch viele Leute von "unterwegs" mal eben das Bankkonto checken und ähnliche Dinge tun würde ich mal mit dem Datenschutzbeauftragten eurer Uni/Hochschule sprechen.

Gruß

Andreas
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Root Zertifikat in Firefox importieren
gelöst Frage von DarkScabsVerschlüsselung & Zertifikate6 Kommentare

Hallo Zusammen, wir müssen bei uns ein Root-Zertifikat in den Firefox importieren, um eine sichere Verbindung zu unserem internen ...

Windows 7
Windows 7 Root Zertifikat erneuern
gelöst Frage von quiddiWindows 72 Kommentare

Hallo zusammen, beim Installieren von einem Programm(genauer: Siemens S7 TIA v15.1) erhalte ich die Fehlermeldung von Windows, dass Windows ...

E-Mail

Mails von Mailserver werden als SPAM eingestuft

Frage von ClepToManixE-Mail13 Kommentare

Hallo, ich habe mir auf meinem Ubuntu einen Mailserver installiert. Leider stelle ich fest, dass alle meine Mails( egal ...

Windows Server

ROOT CA Umbenennen

gelöst Frage von agowa338Windows Server2 Kommentare

Hallo, kann mir jemand sagen, ob es einen einfacheren Weg zur Umbenennung einer ROOT CA gibt, als eine neue ...

Neue Wissensbeiträge
Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 20 StundenInternet3 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Router & Routing

Zyxel VMG 1312 B30A - Firmwareupdate nur im "privaten" Firefox Modus möglich

Tipp von the-buccaneer vor 1 TagRouter & Routing2 Kommentare

Hatte hier ein Zyxel 1312 das ums verrecken kein Firmwareupdate durchführen wollte. Datei ist auswählbar, dann kommt der Fortschrittskreisel ...

Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 2 TagenWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 4 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Heiß diskutierte Inhalte
Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
Frage von PlanitecXDatenbanken21 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Hardware
PC im Selbstbau, Workstation, mittelklasse Gaming
gelöst Frage von MrRobot1997Hardware21 Kommentare

Hallöchen Leute, ich bin seit einigen Jahren leider nicht mehr wirklich im Bild, wenn es um die Hardware und ...

Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware20 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Server
User auf Server Install-Rechte geben
gelöst Frage von killtecWindows Server17 Kommentare

Hi, ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll ...