Zum Inhalt springen

Erstellung digitale /Signatur Unterschrift in Outlook

KaLu1976

Von KaLu1976
in Security

 Teilen

Empfohlene Beiträge

Guybrush Threepwood

Guybrush Threepwood

Geschrieben
Geschrieben

Ob da Personalien oder ähnliches überprüft werden ist für das Zertifikat unerheblich.

Der Unterschied ist das das Zertifikat automatisch als vertrauenswürdig eingestuft wird wenn es zum Beispiel von VeriSign oder so ausgestellt wird. Das liegt daran das Windows schon eine Reihe vertrauenswürdiger Stammzertifizierungsstellen mitbringt und somit alle von diesen Root Zertifikaten ausgestellen Zertifikate vertrauenswürdig sind.

Wenn du nun selber ein Zertifikat erstellst ist dieses auf einem anderen Pc erstmal unbekannt. Das heiß der Nutzer muss es manuell als vertrauenswürdig einstufen. Dabei muss er dann natürlich auch irgendwie wissen das das jetzt auch wirklich das von dir ausgestellte Zertifikat ist und nicht von jemand anderem.

Wenn er das dann als vertrauenswürdig eingestuft hat macht das keinen Unterschied mehr zu einem gekauften Zertifikat.

Innerhalb einer Firma kann man zum Beispiel auch einfach hingehen und ein eigenes Rootzertifikat automatisch in der Domäne verteilen um für die Mitarbeiter Zertifikate zu erstellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Schandfleck

Schandfleck

Geschrieben
Geschrieben
Ob da Personalien oder ähnliches überprüft werden ist für das Zertifikat unerheblich.

Es macht aber für die Vertrauenswürdigkeit des Zertifikates einen Unterschied. Dabei geht es nicht um Technk. Das Zertifikat soll den öffentlichen Schlüssel dem Inhaber des zugehörigen privaten Schlüssels zuordnen. Erfolgt vor der Ausstellung des Zertifikates keine Identitätsprüfung des Antragstellers, ist das Zertifikat eben nicht vertrauenswürdig, da man nicht weiß, ob die im Zertifikat genannte Person tatsächlich diejenige ist, die über den privaten Schlüssel verfügt.

Natürlich kann man, wie geschrieben, selbst Nutzerzertifikate mit einem eigenen Root-Zertifikat signieren. Jedoch darf man nicht alles unbesehen blind unterschreiben, sonst ist es vorbei mit der Sicherheit, die man mit den Zertifikaten eigentlich ereichen wollte.

Zertifikate darf man nur dann als vertrauenswürdig im System hinterlegen, wenn man auch weiß, daß der Aussteller ordentlich arbeitet und das Zertifikat aus vertrauenswürdiger Quelle erhalten hat.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Guybrush Threepwood

Guybrush Threepwood

Geschrieben
Geschrieben

Nein es macht keinen Unterschied für die Vertrauenswürdigkeit des Zertifikats.

Wenn die Stammzertifizierungsstelle bei dir als vertrauenswürdig gilt ist auch das damit ausgestellte Zertifikat vertrauenswürdig. Egal was da überprüft wurde oder ob die Daten darin stimmen.

Wenn du dir nun selber ein Zertifikat ausstellst musst du dir irgendwas überlegen wie du das dem Nutzer so übermitteln kannst das er weiß das auch tatsächlich von dir ist

PS: es geht um die technische Vertrauenswürdigkeit nicht um die persöhnlich gefühlte ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
Schandfleck

Schandfleck

Geschrieben
Geschrieben
Wenn die Stammzertifizierungsstelle bei dir als vertrauenswürdig gilt ist auch das damit ausgestellte Zertifikat vertrauenswürdig. Egal was da überprüft wurde oder ob die Daten darin stimmen.

Ja, aber genau das ist doch das Problem. Das System sieht Zertifikate als vertrauenswürdig an, die es nicht sind; auf die Richtigkeit der im Zertifikat genannten Daten kann man sich so nicht verlassen.

Wenn du dir nun selber ein Zertifikat ausstellst musst du dir irgendwas überlegen wie du das dem Nutzer so übermitteln kannst das er weiß das auch tatsächlich von dir ist

Richtig, der Nutzer muss wissen, dass das Zertifikat tatsächlich von mir ist; spirch er den Angaben im Zertifikat vertrauen kann. Erst dann darf er das Zertifikat dem System als vertrauenswürdig bekannt machen.

PS: es geht um die technische Vertrauenswürdigkeit nicht um die persöhnlich gefühlte ;)

Im Endeffekt schon. Eine Signatur unter einer E-Mail hat den Zweck, dass der Empfänger darauf vertrauen kann, dass die E-Mail von dem im Zertifikat genannten Unterzeichner stammt und nicht verändert wurde. Dazu muss er auf die Richtigkeit der Angaben im Zertifikat (im persönlichen Sinn) vertrauen können. Das System kann das mit Technik auf das Vertrauen gegenüber der Stammzertifizierungsstelle zurückführen. Es kann aber nicht selbst entscheiden, ob diese vertrauenswürdig ist. Spätestens hier kommt der Nutzer ins Spiel, der dem System bekannt gemacht haben muss, welchen Zertifizierungsstellen er dahingehend vertraut, dass sie die Identität des Inhabers des Endbenutzerzertifikates hinreichend geprüft haben.

Dabei muss man der Stammzertifizierungsstelle mehr Vertrauen entgegebringen, als dem Endbenutzerzertifikat. Bei letzterem braucht man nur sicher zu seien, dass die Angaben stimmen, ob und was der Nutzer, möglicherweise ungeprüft, unterschreibt ist egal.

Link zu diesem Kommentar
Auf anderen Seiten teilen
pruefer_gg

pruefer_gg

Geschrieben
Geschrieben
CACert konnte bis jetzt noch nicht die eigenen Zertifikate als Root-Zertifikate in den Browsern implementieren lassen, somit würden die bei einer Standardinstallation auch nicht als vertrauenswürdig eingestuft werden.

Aber die Root-Zertifikate sind downloadbar - was ein Fachinformatiker hinbekommen sollte!

GG

Link zu diesem Kommentar
Auf anderen Seiten teilen
lupo49

lupo49

Geschrieben
Geschrieben

Das bringt mir aber überhaupt nichts, wenn ich mit Personen kommuniziere, die das nicht können und auch nicht machen werden.

Solange das nicht mit den Browsern mitkommt, ist das nicht brauchbar um das in der Gesellschaft nutzen zu können.

(Wobei ich selber dort auch auf dem Weg zu Assurer bin :))

Link zu diesem Kommentar
Auf anderen Seiten teilen
Schandfleck

Schandfleck

Geschrieben
Geschrieben
Den E-Mail-Client interessiert das relativ wenig. Zumindest, wenn es um Verschlüsselung geht!

Ich hoffe schon. Der E-Mail-Client sollte zumindest eine Warnung ausspucken. Immerhin will der Nutzer mit der Verschlüsselung sicherstellen, dass nur der beabsichtigte Empfänger die E-Mail lesen kann. Da sollte man schon sicher gehen, dass das Zertifikat auch vertrauenswürdig ist und der genannten Person gehört.

Link zu diesem Kommentar
Auf anderen Seiten teilen
lupo49

lupo49

Geschrieben
Geschrieben
Den E-Mail-Client interessiert das relativ wenig. Zumindest, wenn es um Verschlüsselung geht!

Zumindest ist das bei Outlook relevant, da es den Zertifikatsspeicher vom Internet Explorer nutzt. Natürlich ist generell auch für alle anderen geschützten Verbindungen wichtig.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...