Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Verschlüsselung & Zertifikate

EV-Zertifikate

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

17.02.2013 um 03:10 Uhr, 2809 Aufrufe, 10 Kommentare

Achtung: Es geht nur um ein Internes Active Directory!

Hallo Kollegen,

Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.

Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).

Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?

LG, Herbrich

PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Mitglied: catachan
17.02.2013 um 08:19 Uhr
Hi

soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.

Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser

LG
Bitte warten ..
Mitglied: clSchak
17.02.2013 um 09:45 Uhr
Hi

einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft - wir haben unseres von GoDaddy.
Bitte warten ..
Mitglied: LordGurke
17.02.2013 um 16:48 Uhr
Die CAs für EV-Zertifikate sind im Browser fest eincompiliert. Alle anderen CAs werden bloß die browserüblichen Farben für SSL-Verschlüsselung geben.
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Bitte warten ..
Mitglied: C.R.S.
17.02.2013 um 22:34 Uhr
Zitat von LordGurke:
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen

Wobei dies, sofern für die geplante CA kein OCSP-Responder betrieben wird, die Zertifikatsvalidierung des Browsers insgesamt kompromittiert. - Das wird bei den zahlreichen Anleitungen dazu gern unterschlagen.

Grüße
Richard
Bitte warten ..
Mitglied: Herbrich19
28.02.2013 um 15:58 Uhr
Hallo, und Sry für die Späte Antwort

Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.

LG, Herbrich
Bitte warten ..
Mitglied: catachan
28.02.2013 um 16:56 Uhr
Hi

Dann werde ich mal vorschlagen dass die
Root-CA eincompliliert.

Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

LG
Bitte warten ..
Mitglied: Herbrich19
08.03.2013 um 23:00 Uhr
Hallo

>Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.

Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??

LG, Herbrich
Bitte warten ..
Mitglied: catachan
08.03.2013 um 23:04 Uhr
Hi

Was ist für dich eine extrem große Menge ?

<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>

LG
Bitte warten ..
Mitglied: clSchak
09.03.2013 um 00:10 Uhr
...

für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.

Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.

Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".

Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
Bitte warten ..
Mitglied: Herbrich19
02.05.2013 um 22:56 Uhr
Hallo,

Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.

Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.

Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.

LG, Herbrich

PS: www.herbrich.org hat jetzt ein neues Layout.
Bitte warten ..
Ähnliche Inhalte
Hyper-V
Verändert Windows 8 (und ev höher) selbständig Anwendugnspriorität
gelöst Frage von gifoxHyper-V3 Kommentare

Hallo an alle. Vorweg, es ist kein typisches Freitagsthema. Nach langwieriger Suche nach einem mysteriösen Problem in einer Anwendung ...

Verschlüsselung & Zertifikate
Beißen sich SAN-Zertifikat und Wildcard-Zertifikat?
gelöst Frage von SlimButchVerschlüsselung & Zertifikate2 Kommentare

Hallo allerseits, ich habe eine Frage an euch bezüglich SSL Zertifikate, zu der ich bisher keine passende Antwort gefunden ...

Windows Server
RDP Zertifikat
gelöst Frage von schneerunzelWindows Server5 Kommentare

Hallo, Leider habe ich nicht allzu viele Erfahrungen mit Windows Server daher meine Frage: Wenn ich mich mit meinem ...

Exchange Server
Zertifikat wird nicht ausgestellt
gelöst Frage von 118041Exchange Server2 Kommentare

Ich habe das Problem dass ein Exchange-Zertifikat nicht ausgetellt wird. Ich starte den Zertifizierungsservice über Dann klicke ich auf ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...