Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EV-Zertifikate

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

17.02.2013 um 03:10 Uhr, 2735 Aufrufe, 10 Kommentare

Achtung: Es geht nur um ein Internes Active Directory!

Hallo Kollegen,

Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.

Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).

Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?

LG, Herbrich

PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Mitglied: catachan
17.02.2013 um 08:19 Uhr
Hi

soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.

Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser

LG
Bitte warten ..
Mitglied: clSchak
17.02.2013 um 09:45 Uhr
Hi

einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft - wir haben unseres von GoDaddy.
Bitte warten ..
Mitglied: LordGurke
17.02.2013 um 16:48 Uhr
Die CAs für EV-Zertifikate sind im Browser fest eincompiliert. Alle anderen CAs werden bloß die browserüblichen Farben für SSL-Verschlüsselung geben.
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Bitte warten ..
Mitglied: C.R.S.
17.02.2013 um 22:34 Uhr
Zitat von LordGurke:
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen

Wobei dies, sofern für die geplante CA kein OCSP-Responder betrieben wird, die Zertifikatsvalidierung des Browsers insgesamt kompromittiert. - Das wird bei den zahlreichen Anleitungen dazu gern unterschlagen.

Grüße
Richard
Bitte warten ..
Mitglied: Herbrich19
28.02.2013 um 15:58 Uhr
Hallo, und Sry für die Späte Antwort

Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.

LG, Herbrich
Bitte warten ..
Mitglied: catachan
28.02.2013 um 16:56 Uhr
Hi

Dann werde ich mal vorschlagen dass die
Root-CA eincompliliert.

Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

LG
Bitte warten ..
Mitglied: Herbrich19
08.03.2013 um 23:00 Uhr
Hallo

>Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.

Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??

LG, Herbrich
Bitte warten ..
Mitglied: catachan
08.03.2013 um 23:04 Uhr
Hi

Was ist für dich eine extrem große Menge ?

<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>

LG
Bitte warten ..
Mitglied: clSchak
09.03.2013 um 00:10 Uhr
...

für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.

Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.

Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".

Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
Bitte warten ..
Mitglied: Herbrich19
02.05.2013 um 22:56 Uhr
Hallo,

Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.

Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.

Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.

LG, Herbrich

PS: www.herbrich.org hat jetzt ein neues Layout.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst Wieso kann eine CA Zertifikate ausstellen und ein normaler Nutzer nicht? (7)

Frage von Mimetype zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

Link von sabines zum Thema Verschlüsselung & Zertifikate ...

Internet
Zertifikate: Auch Google wirft Wosign und Startcom raus

Link von Kraemer zum Thema Internet ...

Verschlüsselung & Zertifikate
Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

Link von Frank zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...