3
SSL Zertifikat von Plesk ... trotzdem sicher?
Host bietet https://domain.de an
Guten Abend zusammen,
ich möchte die Daten (insbesondere Passwörter für htaccess) unserer Seite nicht im Klartext übertragen,
da einige Besucher über offene WLAN-Punkte darauf zugreifen werden.
Mein Provider bietet mir neben dem httpdocs auch ein httpsdocs Verzeichnis auf meinem Server an.
Rufe ich die Seite auf, erscheint eine Fehlermeldung, dass dem Zertifikat nicht vertraut werden kann.
An sich ja logisch, da der Provider es selbst erzeugt hat.
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Das Zertifikat gilt nur für plesk.
(Fehlercode: sec_error_untrusted_issuer)
Meine Fragen:
1. Sollte der Benutzer das Zertifikat akzeptieren, werden dann die Daten trotzdem verschlüsselt übertragen?
2. Kann eine Dritt-Person mit diesem Zertifikat später quasi die Eingabe eines Passwortes abhören/mitschneiden?
Besten Dank für Eure Hilfe im Voraus!
ich möchte die Daten (insbesondere Passwörter für htaccess) unserer Seite nicht im Klartext übertragen,
da einige Besucher über offene WLAN-Punkte darauf zugreifen werden.
Mein Provider bietet mir neben dem httpdocs auch ein httpsdocs Verzeichnis auf meinem Server an.
Rufe ich die Seite auf, erscheint eine Fehlermeldung, dass dem Zertifikat nicht vertraut werden kann.
An sich ja logisch, da der Provider es selbst erzeugt hat.
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Das Zertifikat gilt nur für plesk.
(Fehlercode: sec_error_untrusted_issuer)
Meine Fragen:
1. Sollte der Benutzer das Zertifikat akzeptieren, werden dann die Daten trotzdem verschlüsselt übertragen?
2. Kann eine Dritt-Person mit diesem Zertifikat später quasi die Eingabe eines Passwortes abhören/mitschneiden?
Besten Dank für Eure Hilfe im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128775
Url: https://administrator.de/contentid/128775
Printed on: April 20, 2024 at 06:04 o'clock
3 Comments
Latest comment
Moin,
das Zertifikat ist genauso gut wie jedes andere. Der Benutzer muss es halt bestätigen weil es ein sog. "Self-Signed-Certificate" ist. D.h. du hast es dir selbst ausgestellt. Dieses merkt der Browser an - weil: Wer sollte dich hindern dein Zertifikat für "Sparkasse.de" auszustellen? Soweit der Benutzer aber auf "jo, alles ok, nimm an und mach weiter" klickt (was die meisten leider sogar ohne überlegen tun werden!) geht danach alles seinen normalen Gang...
Falls du die Meldung wegbekommen möchtest musst du dein Zertifikat (mit dem richtigen Hostname usw.) erstellen und dann von einer dritten Stelle überprüfen lassen. Allerdings lohnt sich das idR. nicht wirklich (für kleine Dinge - große Firmen sollten das ruhig machen!) - da die Benutzer wie gesagt zu 95% eh einfach auf "mach weiter" klicken...
das Zertifikat ist genauso gut wie jedes andere. Der Benutzer muss es halt bestätigen weil es ein sog. "Self-Signed-Certificate" ist. D.h. du hast es dir selbst ausgestellt. Dieses merkt der Browser an - weil: Wer sollte dich hindern dein Zertifikat für "Sparkasse.de" auszustellen? Soweit der Benutzer aber auf "jo, alles ok, nimm an und mach weiter" klickt (was die meisten leider sogar ohne überlegen tun werden!) geht danach alles seinen normalen Gang...
Falls du die Meldung wegbekommen möchtest musst du dein Zertifikat (mit dem richtigen Hostname usw.) erstellen und dann von einer dritten Stelle überprüfen lassen. Allerdings lohnt sich das idR. nicht wirklich (für kleine Dinge - große Firmen sollten das ruhig machen!) - da die Benutzer wie gesagt zu 95% eh einfach auf "mach weiter" klicken...
Hallo maretz
danke für deine ausführliche Antwort.
Aber besteht nun die Möglichkeit für unerwünsche Gäste, mittels diesem Zertifikat nun das passwort eines erwünschten Gastes abzufangen?
danke für deine ausführliche Antwort.
Aber besteht nun die Möglichkeit für unerwünsche Gäste, mittels diesem Zertifikat nun das passwort eines erwünschten Gastes abzufangen?
Aber besteht nun die Möglichkeit für unerwünsche Gäste, mittels diesem Zertifikat nun das passwort eines erwünschten Gastes abzufangen?
Nein:
das Zertifikat ist genauso gut wie jedes andere
Aber wahrscheinlich bist du auf den Self-Signed-Fehler in Firefox reingefallen, der scheinbar von der Zertifikat-Mafia gesponsert wurde (Eine andere Erklärung für die gnadenlos schlechte Behandlung von SSL-Zertifikation in Firefox 3, die nicht EV-SSL sind, gibt es nicht).
Rein technisch betrachtet ist ein self-signed-Zertifikat (richtig erstellt) sogar sicherer als ein 500€ EV-SSL-Zertifikat von VeriSign. Warum?
Weil du in dem Fall das private Root-Zertifikat selbst sichern kannst, bei einem großen Unternehmen kann keiner garantieren, dass es nicht irgendwie in den Umlauf kommt.
Du stehst hier einfach vor dem großen Problem von SSL: Es versucht zwei vollkommen verschiedene Paar Schuhe zusammen zu werfen: Identität und Sicherheit.
Das ein self-signed-Zertifikat aber lediglich nur nicht den "Identität"-Teil erfüllt versteht ein normaler Nutzer aber genauso wenig, wie, dass sein PC-Hersteller für ihn schon entschieden hat, wer vertrauenswürdig ist und wer nicht...
Grüße
Max
