pitamerica
Goto Top

SSL auch ohne Zertifikat

Hallo zusammen, seit Januar gibt es ja vermehrt die Browserwarnung bei Webseiten, die kein eigenes oder korrektes Zertifikat kann nachweisen können.

Nun würde mich interessieren, weil ich mich mit Zertifikaten nicht so gut auskenne, ob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird, dass es sich bei der anderen Seite wirklich um den Server handelt den man ansprechen möchte.

Z.b. bei der Konfigurationsoberfläche eigener im LAN befindlicher Geräte.

Content-ID: 355396

Url: https://administrator.de/forum/ssl-auch-ohne-zertifikat-355396.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

134464
Lösung 134464 19.11.2017 aktualisiert um 17:50:46 Uhr
Goto Top
Zitat von @pitamerica:
lob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird
NEIN, alles im Klartext lesbar wenn es nicht Client- oder Serverseitig verschlüsselt wird.
Z.b. bei der Konfigurationsoberfläche eigener im LAN befindlicher Geräte.
Auch da gilt das gleiche wie oben. Ein Angreifer via MiM kann hier alles bequem mitlesen.

Ohne Zertifikat keine Transportverschlüsselung der Verbindung.
pitamerica
pitamerica 19.11.2017 um 17:54:25 Uhr
Goto Top
Das dachte ich mir. Vielen Dank für die schnelle Antwort.

Wenn ich nun z.B. das NAS im LAN per https ansprechen möchte, aber das über die IP und nicht über eine domain mache, wie kann ich dann eine verschlüsselte Verbindung zu Stande bekommen ?
anteNope
anteNope 19.11.2017 um 17:58:06 Uhr
Goto Top
Wenn ein Zertifikat vorhanden, auch wenn z.B. nur self-signed, wird das ja wohl auch verwendet ...
wiesi200
Lösung wiesi200 19.11.2017 um 19:17:35 Uhr
Goto Top
Hallo,

du brauchst ein Zertifikat für SSL und somit für Verschlüsselung.
Die Browserwarungen kommen nur bei Verschlüsselten Seiten und sagen dir das was mit dem Zertifikat nicht stimmt und du vorsichtig sein sollst da man eventuell der Geschichte trotz Verschlüsselung nicht trauen kann.
Wenn des dein eigener Server ist, noch dazu in deinem Eigenen Netzwerk Spielt das teilweise keine Rolle.
maretz
Lösung maretz 19.11.2017 um 19:18:10 Uhr
Goto Top
Moin,

die Warnung ist nicht erst seit Januar, die war auch früher da. Neu ist lediglich das auch gültige Zertifikate abgelehnt werden wenn es eben als unsicher gilt. Self-Signed oder falsche Zertifikate wurden aber schon immer angemerkt und als Warnung rausgegeben...

Es wird dann zwar verschlüsselt - aber du weisst eben nicht ob es WIRKLICH der Rechner ist mit dem du reden willst oder ggf. irgendein anderer. Im LAN normalerweise zu verschmerzen weil du ja über die internen IPs schon weisst das der Rechner nicht im Internet ist (du wirst den Rechner 10.10.10.10 im Internet nicht finden z.B.) und du da ne gewisse Kontrolle hast / haben solltest. Das hängt aber eben auch von deinem Netz ab - hast du 5 Rechner ist das eher zu verschmerzen als wenn dein Netzwerk 5000 Rechner hat... Da ist das dann eher eine Budget-Frage.
LordGurke
Lösung LordGurke 19.11.2017 um 19:26:15 Uhr
Goto Top
Grundsätzlich: Wann immer "https://" in der URL steht, wird auch verschlüsselt. Egal was für ein Zertifikat du nutzt, ist die Verbindung erstmal nicht abhörbar.
Aber: Wenn das Zertifikat selbstsigniert ist, wird ihm erstmal nicht vertraut - denn jeder kann sich ein solches Zertifikat mit beliebigem Namen erzeugen. Ein theoretischer Angreifer könnte so ein Zertifikat mit deinem Namen erzeugen und dich auf seinen eigenen Server leiten.
So als wenn du dir selbst einen Personalausweis bastelst. Von dem was da drauf steht, würde auch niemand etwas glauben.

Das ist auch das, was die Browserwarnung dir sagt: Die Verbindung ist zwar verschlüsselt, aber man kann nicht garantieren, dass das auch der Server ist, welcher du glaubst dass er es ist. Wenn du der einzige Nutzer bist, importiere dir das Zertifikat einmal und es ist ab dem Moment vertrauenswürdig. An der Stärke der Verschlüsselung wird das nichts ändern.
Solltest du dann aber dennoch plötzlich mal eine Warnung kriegen, musst du misstrauisch werden, ob das wirklich dein Zertifikat ist.
pitamerica
pitamerica 19.11.2017 um 19:26:47 Uhr
Goto Top
Ok, das beudeutet also, die Verbindung im LAN zum NAS ist trotz der Warnung verschlüsselt. Nur eben die sicherste Variante, dass anhand des Zertifikats auch die Identität des angesprochenen Geräts nachgeweisen wird, ist nicht vorhanden....Richtig ?
certifiedit.net
Lösung certifiedit.net 19.11.2017 um 19:39:44 Uhr
Goto Top
Zitat von @pitamerica:

Ok, das beudeutet also, die Verbindung im LAN zum NAS ist trotz der Warnung verschlüsselt. Nur eben die sicherste Variante, dass anhand des Zertifikats auch die Identität des angesprochenen Geräts nachgeweisen wird, ist nicht vorhanden....Richtig ?

Ne, das bedeutet gar nichts, denn entsprechend maliziös genutzt kann auch ein "absolut grünes" Zertifikat einen Missbrauch überdecken.

Du kannst auch eine interne CA stellen und es entsprechend überwachen.

Grundsätzlich ist richtig, alles per HTTPS gehende wird verschlüsselt, wer das verschlüsselt musst du allerdings über spezifische Einstellungen absichern und nachweisen (das grüne Fenster ist nur ein Indiz.)

Empfehlung: Gutes Buch mit dem Hintergrund. Sonst bleibt das Lückenhaft und es erweisst sich als Bärendienst für dich.

VG
LordGurke
Lösung LordGurke 19.11.2017 um 19:57:39 Uhr
Goto Top
Aber insgesamt hast du das gut zusammengefasst.
Verschlüsselung ist gegeben, nur die Identität bleibt ungeklärt.