philipp711
Goto Top

Überprüfung von eingereichten Zertifikat-Anfragen auf Duplikate

Hallo Leute,

hätte mal wieder ein zunächst einmal theoretische Frage.

Es geht um Zertifizierungsstellen und deren Vorgehensweise bei neuen Anfragen für HTTPS-Zertifikate.

Beispiel:
Firma-A beantragt bei z.B. Verisign für ihren Webserver www.firmaA.de ein HTTPS-Zertifikat. Die Firma erhält das Zertifikat und installiert es auf dem Webserver. Wenig später kommt Bösewicht-B und beantragt bei GlobalSign ebenfalls ein HTTPS-Zertifikat für seinen Webserver mit dem gleichen Namen wie Firma-A -> www.firmaA.de.

Theoretisch könnte sich Bösewicht-B ja jetzt mit seinem Webserver als der richtige www.firmaA.de ausgeben und Man-In-the-Middle spielen - evtl. auch "interessante" Daten Abgreifen ohne dass der User/Browser etwas merkt - die Zertifikate sind ja beide von einer vertrauenswürdigen Stelle ausgegeben.

Prüfen sich die Zertifizierungsstellen eigentlich gegenseitig ob die Webserver schon von anderen CA's mit Zertifikaten ausgestattet wurden?

Danke!

Content-Key: 251996

Url: https://administrator.de/contentid/251996

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Chonta
Chonta 15.10.2014 um 11:43:29 Uhr
Goto Top
Zitat von @Philipp711:

Hallo Leute,

hätte mal wieder ein zunächst einmal theoretische Frage.

Es geht um Zertifizierungsstellen und deren Vorgehensweise bei neuen Anfragen für HTTPS-Zertifikate.

Beispiel:
Firma-A beantragt bei z.B. Verisign für ihren Webserver www.firmaA.de ein HTTPS-Zertifikat. Die Firma erhält das
Zertifikat und installiert es auf dem Webserver. Wenig später kommt Bösewicht-B und beantragt bei GlobalSign ebenfalls
ein HTTPS-Zertifikat für seinen Webserver mit dem gleichen Namen wie Firma-A -> www.firmaA.de.

Kann er machen, wird ein Zertifikat abe rnur bekommen wenn er sich erfolgreich für die Firma verantwortlich ausweisen kann.
Klapt nich timmer zu 100% aber im Normalfall bekommt niemand einfach so ein Zertifikat für eine Domäne wo er nicht nachweisen kann, das ihm die Domäne auch gehört oder er den Auftrag hat.

Theoretisch könnte sich Bösewicht-B ja jetzt mit seinem Webserver als der richtige www.firmaA.de ausgeben und
Der kann einen Webserver aufseezen der auch auf die Domäne reagiert ja, aber wenn der es nicht schafft Leute einen DNS Server unterzujubeln die seine Domäne als echte verteilen bringt dem das nicht viel. (Mit Proxys kann man da auch noch was drehen)

Man-In-the-Middle spielen - evtl. auch "interessante" Daten Abgreifen ohne dass der User/Browser etwas merkt - die
Zertifikate sind ja beide von einer vertrauenswürdigen Stelle ausgegeben.

Man in the Middle ist was anderes, wenn der Leute auf seinen Server umleitet dann ist der nicht mehr dazwischen sondern das Ziel.
Bis sein Gültiges Zertifikat bei allen Browsern als ungültig geführt wird, dauert das ewig.

Prüfen sich die Zertifizierungsstellen eigentlich gegenseitig ob die Webserver schon von anderen CA's mit Zertifikaten
ausgestattet wurden?

Die prüfen bei den Domainregistraren wie Denic etc. wer die Domäne besitzt und deien Identität wird auch geprüft. Passt beides nicht kein Zertifikat.
Soweit die Theorie.

Danke!

Gruß

Chonta