9
SSL auch ohne Zertifikat
Hallo zusammen, seit Januar gibt es ja vermehrt die Browserwarnung bei Webseiten, die kein eigenes oder korrektes Zertifikat kann nachweisen können.
Nun würde mich interessieren, weil ich mich mit Zertifikaten nicht so gut auskenne, ob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird, dass es sich bei der anderen Seite wirklich um den Server handelt den man ansprechen möchte.
Z.b. bei der Konfigurationsoberfläche eigener im LAN befindlicher Geräte.
Nun würde mich interessieren, weil ich mich mit Zertifikaten nicht so gut auskenne, ob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird, dass es sich bei der anderen Seite wirklich um den Server handelt den man ansprechen möchte.
Z.b. bei der Konfigurationsoberfläche eigener im LAN befindlicher Geräte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355396
Url: https://administrator.de/contentid/355396
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Zitat von @pitamerica:
lob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird
NEIN, alles im Klartext lesbar wenn es nicht Client- oder Serverseitig verschlüsselt wird.lob der Webseitenverkehr trotzdem verschlüsselt ist aber nur nicht bestätigt wird
Z.b. bei der Konfigurationsoberfläche eigener im LAN befindlicher Geräte.
Auch da gilt das gleiche wie oben. Ein Angreifer via MiM kann hier alles bequem mitlesen.Ohne Zertifikat keine Transportverschlüsselung der Verbindung.
Das dachte ich mir. Vielen Dank für die schnelle Antwort.
Wenn ich nun z.B. das NAS im LAN per https ansprechen möchte, aber das über die IP und nicht über eine domain mache, wie kann ich dann eine verschlüsselte Verbindung zu Stande bekommen ?
Wenn ich nun z.B. das NAS im LAN per https ansprechen möchte, aber das über die IP und nicht über eine domain mache, wie kann ich dann eine verschlüsselte Verbindung zu Stande bekommen ?
Wenn ein Zertifikat vorhanden, auch wenn z.B. nur self-signed, wird das ja wohl auch verwendet ...
Hallo,
du brauchst ein Zertifikat für SSL und somit für Verschlüsselung.
Die Browserwarungen kommen nur bei Verschlüsselten Seiten und sagen dir das was mit dem Zertifikat nicht stimmt und du vorsichtig sein sollst da man eventuell der Geschichte trotz Verschlüsselung nicht trauen kann.
Wenn des dein eigener Server ist, noch dazu in deinem Eigenen Netzwerk Spielt das teilweise keine Rolle.
du brauchst ein Zertifikat für SSL und somit für Verschlüsselung.
Die Browserwarungen kommen nur bei Verschlüsselten Seiten und sagen dir das was mit dem Zertifikat nicht stimmt und du vorsichtig sein sollst da man eventuell der Geschichte trotz Verschlüsselung nicht trauen kann.
Wenn des dein eigener Server ist, noch dazu in deinem Eigenen Netzwerk Spielt das teilweise keine Rolle.
Moin,
die Warnung ist nicht erst seit Januar, die war auch früher da. Neu ist lediglich das auch gültige Zertifikate abgelehnt werden wenn es eben als unsicher gilt. Self-Signed oder falsche Zertifikate wurden aber schon immer angemerkt und als Warnung rausgegeben...
Es wird dann zwar verschlüsselt - aber du weisst eben nicht ob es WIRKLICH der Rechner ist mit dem du reden willst oder ggf. irgendein anderer. Im LAN normalerweise zu verschmerzen weil du ja über die internen IPs schon weisst das der Rechner nicht im Internet ist (du wirst den Rechner 10.10.10.10 im Internet nicht finden z.B.) und du da ne gewisse Kontrolle hast / haben solltest. Das hängt aber eben auch von deinem Netz ab - hast du 5 Rechner ist das eher zu verschmerzen als wenn dein Netzwerk 5000 Rechner hat... Da ist das dann eher eine Budget-Frage.
die Warnung ist nicht erst seit Januar, die war auch früher da. Neu ist lediglich das auch gültige Zertifikate abgelehnt werden wenn es eben als unsicher gilt. Self-Signed oder falsche Zertifikate wurden aber schon immer angemerkt und als Warnung rausgegeben...
Es wird dann zwar verschlüsselt - aber du weisst eben nicht ob es WIRKLICH der Rechner ist mit dem du reden willst oder ggf. irgendein anderer. Im LAN normalerweise zu verschmerzen weil du ja über die internen IPs schon weisst das der Rechner nicht im Internet ist (du wirst den Rechner 10.10.10.10 im Internet nicht finden z.B.) und du da ne gewisse Kontrolle hast / haben solltest. Das hängt aber eben auch von deinem Netz ab - hast du 5 Rechner ist das eher zu verschmerzen als wenn dein Netzwerk 5000 Rechner hat... Da ist das dann eher eine Budget-Frage.
Grundsätzlich: Wann immer "https://" in der URL steht, wird auch verschlüsselt. Egal was für ein Zertifikat du nutzt, ist die Verbindung erstmal nicht abhörbar.
Aber: Wenn das Zertifikat selbstsigniert ist, wird ihm erstmal nicht vertraut - denn jeder kann sich ein solches Zertifikat mit beliebigem Namen erzeugen. Ein theoretischer Angreifer könnte so ein Zertifikat mit deinem Namen erzeugen und dich auf seinen eigenen Server leiten.
So als wenn du dir selbst einen Personalausweis bastelst. Von dem was da drauf steht, würde auch niemand etwas glauben.
Das ist auch das, was die Browserwarnung dir sagt: Die Verbindung ist zwar verschlüsselt, aber man kann nicht garantieren, dass das auch der Server ist, welcher du glaubst dass er es ist. Wenn du der einzige Nutzer bist, importiere dir das Zertifikat einmal und es ist ab dem Moment vertrauenswürdig. An der Stärke der Verschlüsselung wird das nichts ändern.
Solltest du dann aber dennoch plötzlich mal eine Warnung kriegen, musst du misstrauisch werden, ob das wirklich dein Zertifikat ist.
Aber: Wenn das Zertifikat selbstsigniert ist, wird ihm erstmal nicht vertraut - denn jeder kann sich ein solches Zertifikat mit beliebigem Namen erzeugen. Ein theoretischer Angreifer könnte so ein Zertifikat mit deinem Namen erzeugen und dich auf seinen eigenen Server leiten.
So als wenn du dir selbst einen Personalausweis bastelst. Von dem was da drauf steht, würde auch niemand etwas glauben.
Das ist auch das, was die Browserwarnung dir sagt: Die Verbindung ist zwar verschlüsselt, aber man kann nicht garantieren, dass das auch der Server ist, welcher du glaubst dass er es ist. Wenn du der einzige Nutzer bist, importiere dir das Zertifikat einmal und es ist ab dem Moment vertrauenswürdig. An der Stärke der Verschlüsselung wird das nichts ändern.
Solltest du dann aber dennoch plötzlich mal eine Warnung kriegen, musst du misstrauisch werden, ob das wirklich dein Zertifikat ist.
Ok, das beudeutet also, die Verbindung im LAN zum NAS ist trotz der Warnung verschlüsselt. Nur eben die sicherste Variante, dass anhand des Zertifikats auch die Identität des angesprochenen Geräts nachgeweisen wird, ist nicht vorhanden....Richtig ?
Zitat von @pitamerica:
Ok, das beudeutet also, die Verbindung im LAN zum NAS ist trotz der Warnung verschlüsselt. Nur eben die sicherste Variante, dass anhand des Zertifikats auch die Identität des angesprochenen Geräts nachgeweisen wird, ist nicht vorhanden....Richtig ?
Ok, das beudeutet also, die Verbindung im LAN zum NAS ist trotz der Warnung verschlüsselt. Nur eben die sicherste Variante, dass anhand des Zertifikats auch die Identität des angesprochenen Geräts nachgeweisen wird, ist nicht vorhanden....Richtig ?
Ne, das bedeutet gar nichts, denn entsprechend maliziös genutzt kann auch ein "absolut grünes" Zertifikat einen Missbrauch überdecken.
Du kannst auch eine interne CA stellen und es entsprechend überwachen.
Grundsätzlich ist richtig, alles per HTTPS gehende wird verschlüsselt, wer das verschlüsselt musst du allerdings über spezifische Einstellungen absichern und nachweisen (das grüne Fenster ist nur ein Indiz.)
Empfehlung: Gutes Buch mit dem Hintergrund. Sonst bleibt das Lückenhaft und es erweisst sich als Bärendienst für dich.
VG
1
Aber insgesamt hast du das gut zusammengefasst.
Verschlüsselung ist gegeben, nur die Identität bleibt ungeklärt.
Verschlüsselung ist gegeben, nur die Identität bleibt ungeklärt.
1
