Hallo,

SSL-Zertifikate sind ja dafür da, dass sich der Server gegenüber dem Client authentifizert und so, wenn das öffentliche zertifikat des servers über eine vertrauenswürdige verbindung kommt, eine MITM-Attacke zimelich gut ausgeschlossen wird.

Kann ich eine HTTPS-Verbindung so ohne ein Zertifikat (von einer trusted CA) anbieten, dass die Browser nicht meckern?

Wenn du (oder Zielpersonen) das Zertifikat manuell in den Browser importieren

Ja, das weiß ich. Ich könnte natürlich das CACert-Root-Zertifikat in den Browser importieren und meinem Server ein CACert-Zertifikat ausstellen lassen.

Allerdings würde ich gerne ohne das manuelle importieren auskommen.

Das würde ja das ganze Sicherheitskonzept ad absurdum stellen

Hi,

das hängt wahrscheinlich auch vom Browser ab, aber normalerweise sollten die immer warnen wenn das Zertifikat nicht bekannt ist. Dh wenn du keine Warnung willst brauchst du auch wirklich eins von einer TrustedCA die bei den Browsern standardmäßig dabei sind. (Ist CACert nicht sogar schon dabei in Browser aufgenommen zu werden?)

Bei Self-Signed Zertifikaten sollten halt zumindest die Angaben stimmen, damit der Browser entsprechend nur meckert, weil ihm das Zertifikat unbekannt ist, und nicht auch noch, weil zb der FQDN nicht passt. Im Allgemeinen kann man dann ja dem Browser sagen, dass er das Zertifikat immer akzeptieren soll.

Grüße,
Chris

/Edit: Hm, scheinbar ist der Status bei den offenen Systemen zwar nich so schlecht, bei den großen Browsern aber schon ... Link

Nein. Denn um genau das zu verhindern gibt es dieses Zertifikat-Konzept.

Hm gut. Ein Zertifikat einer Trusted CA kostet halt leider Geld.

Hmm. Gut. Augenwischerei betreiben will ich jetzt natürlich auch nicht direkt...

Dann werd ich diese Fakten mal dem Kunden verklickern. Und den Hoster fragen, ob er auch n CACert Zertifikat auf den Server klatschen würde.


Ehrlich?

Ja. Ehrlich. Ein Webserver (wie z.B. Apache oder der IIS) kann nur ein einziges Zertifikat pro externer IP-Adresse ausliefern.
Hintergrund ist:
Browser bekommt Adresse: https://www.test.de
Browser fragt nach IP-Adresse des Servers und bekommt z.B. 1.2.3.4 zurück.
Browser fragt den Webserver 1.2.3.4 nach seinem Zertifika (wichtig! In diesem Schritt ist KEINE url beteiligt!).
Browser vergleicht die eingegebene URL (www.test.de) mit den Informationen des Zertifikates von 1.2.3.4
Nur wenn im Zertifikat von 1.2.3.4 steht, dass es für www.test.de ausgestellt wurde meckert der Browser nicht.

hm. ah. das heißt, das Zertifikat wird nicht über ein HTTP GET angefordert, in dem der (angefragte) hostname mit übertragen wird?
klar, dann muss man das fast per statischer IP lösen.

Korrekt. Damit wird sichergestellt dass der Server auch tatsächlich zur URL passt.