Welches standard Zertifikat? Exportierbar?

tanka · 01. Apr 2014

Hi Leute,
ich habe gelesen, dass man sich am besten ein eigenes Zertifikat erstellt (http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats), um wirklich "sichere" Verbindungen zu haben. Nun wird doch bei der DSM standardmäßig schon ein Zertifikat verwendet. Zumindest gehe ich davon aus, da ich noch nie selbst eines erzeugt habe und mein Browser beim ersten Seitenaufruf nörgelt.

1. Kann man dieses Standardzertifikat exportieren, um es z.b. bei einem Android Gerät einzubinden (vgl. http://davdroid.bitfire.at/faq/entry/importing-a-certificate ).
2. Kann man sich den ganzen kostenpflichtigen CA-Mist nicht sparen, wenn man sein Zertifikat auf dem USB-Stick mit herumträgt?

Grüße,
Tanka

Anzeige · 01. Apr 2014

Hallo tanka,

Bücher und Hardware zum Thema gibt es bei Amazon: Welches standard Zertifikat? Exportierbar?

Fozzybaer · 01. Apr 2014

Dieser kostenpflichtige "Mist", wie du es nennst, hat seine Daseinsberechtigung. Aber fangen wir mal bei Adam und Eva an.

Zertifikate sind dazu da a) den Betreiber einer Seite oder Absender einer E-Mail als "vertrauenswürdig" oder nicht vertrauenswürdig zu klassifizieren. b) Eine Transportverschlüsselung der Daten zu gewährleisten. Bei öffentlichen CA's (die nicht unbedingt kostenpflichtig sein müssen) gibt es mehrere Stufen. In der einfachsten wird nur mittels E-Mail Bestätigung geprüft, ob der "Antragsteller" auch der Inhaber dieser E-Mail / Domain ist. Diese Zertifikate sind oft kostenlos zu bekommen.
In der 2 ten Stufe wird darüber hinaus, z.B. mittels Post Ident Verfahren, geprüft ob es sich bei dem Antragsteller auch um die reale Person handelt die er/sie vorgibt zu sein. Diese Zertifikate sind meist Kostenpflichtig.
Bis zu dieser Stelle haben diese beiden Zertifikate vor selbst generierten genau 1, respektive 2 Vorteile (Class 2 Cert)
1) Die ausstellende Institution ist bei den meisten Browsern als Vertrauenswürdig eingestuft und somit "meckert" der Browser beim Aufrufen der Seite nicht.
2) Im Falle eines Class 2 Zertifikats kann man auch sicher sein, dass die Person auch die ist, welche sie vorgibt zu sein.

So nun zu den selbst ausgestellten Zertifikaten. Diese werden eben nicht von einer als Vertrauenswürdig eingestuften Partei ausgestellt. Somit meckert JEDER Browser JEDES mal beim Aufruf der Webpage, es sei den man fügt eine Ausnahme zu. Das mag im Freundeskreis noch praktikabel sein, bei einer öffentlichen Webseite ist es das nicht.

So es ist spät und wer orthografische Fehler findet darf sie gern behalten

An sonsten sind wir für weiter führende Meldungen stets offen. @Dill88? Your 2 Cents?

snakemax · 02. Apr 2014

@Fozzybaer

So nun zu den selbst ausgestellten Zertifikaten. Diese werden eben nicht von einer als Vertrauenswürdig eingestuften Partei ausgestellt. Somit meckert JEDER Browser JEDES mal beim Aufruf der Webpage, es sei den man fügt eine Ausnahme zu. Das mag im Freundeskreis noch praktikabel sein, bei einer öffentlichen Webseite ist es das nicht.

Da muß ich Dir recht geben. Ich habe im Moment das gleiche Problem mit nur einem freigegebenem Link. Alle iPhone User mit iOS 7 können
den Link nicht öffnen, bei den iOS 6 gibt es kein Problem. Ich suche jetzt eigentlich eine Möglichkeit, den freigegebenen Usern, gleich mein
selbsterstelltes Zertifikat mitzuschicken. Beziehungsweise einen Downloadhinweis auf das Zertifikat.

Gibt es hierfür eine Möglichkeit?

Gruß Max

Fozzybaer · 02. Apr 2014

snakemax schrieb:
Da muß ich Dir recht geben. Ich habe im Moment das gleiche Problem mit nur einem freigegebenem Link. Alle iPhone User mit iOS 7 können
den Link nicht öffnen, bei den iOS 6 gibt es kein Problem. Ich suche jetzt eigentlich eine Möglichkeit, den freigegebenen Usern, gleich mein
selbsterstelltes Zertifikat mitzuschicken. Beziehungsweise einen Downloadhinweis auf das Zertifikat.

Gibt es hierfür eine Möglichkeit?

Gruß Max

Sprechen wir über ein Zertifikat für eine Website, oder S/MIME?

dil88 · 02. Apr 2014

Fozzybaer schrieb:
An sonsten sind wir für weiter führende Meldungen stets offen. @Dill88? Your 2 Cents?

Hahaha, den habe ich jetzt erst gesehen. Wie bei Deinen Beiträgen üblich, habe ich eigentlich nichts hinzuzufügen. Das einzige, was mir zu dem Thema generell einfällt, ist meine Frustration darüber, dass sich durch die unsäglichen NSA-Aktivitäten im Bezug auf die zentrale CA-Organisation erneut die Frage stellt, ob nicht doch das alte "Web of Trust" weiterverfolgt werden müsste. Bei Verisign werde ich jedenfalls nie wieder ein Zertifikat ordern - und das jetzt ganz unabhängig vom Preis.

Ameisentaetowierer · 02. Apr 2014

Was zum Schmunzeln.....

http://www.heise.de/security/meldung/Der-ehrliche-Achmed-bittet-um-Vertrauen-1231083.html
https://bugzilla.mozilla.org/show_bug.cgi?id=647959

Man kann sein eigenes öffentliches CA-Zertifikat irgendwo (Dropbox, etc) hinterlegen und Freunden den Link zum Downloaden und Installieren schicken.
Ansonsten hilft nur ein echtes Zertifikat.

dil88 · 02. Apr 2014

Danke, AT, you made my day. *LOL*

Frogman · 02. Apr 2014

dil88 schrieb:
..., ist meine Frustration darüber, dass sich durch die unsäglichen NSA-Aktivitäten im Bezug auf die zentrale CA-Organisation erneut die Frage stellt, ob nicht doch das alte "Web of Trust" weiterverfolgt werden müsste. ....

Die gleiche Zielstellung sehe ich auch - nach all den Erfahrung der letzten Monate kann nur der Schluss gezogen werden, dass alle hierarchisch strukturierten Konzepte, ob nun hoheitlich verankert oder nur von privaten Institutionen, keine verläßliche Vertrauensbasis mehr bilden können. Vertreter des alten WOT wie bspw. PGP mögen etwas angestaubt wirken, doch bieten nur sie aktuell den besten Schutzlevel. Und weitergehende Konzepte, die gewissen Hürden bei der Handhabung überwinden (übrigens in der aktuellen c't mal knapp, aber gut angerissen), sind durchaus vorhanden, auch von altbekannten Haudegen der Szene unterstützt und gefördert.

tanka · 02. Apr 2014

Also danke für die zahlreichen Antworten. Leider ist meine ursprüngliche Frage nicht beantwortet. Ich formuliere es nochmal anders:
1) Welchen Vorteil bringt es, sich anstatt dem Standard-Zertifikat(von Synology) ein eigenes (mittels openssl x509/genrsa/...) zu generieren?
2) Wie kann man das Standard-Zertifikat exportieren?

Grüße

Frogman · 02. Apr 2014

1) Sicherheitstechnisch keinen, nur bei der Handbhabung bei einer eigenen Domain (kein Wegklicken der Warnung im Browser) - hat aber Fozzybaer bereits in #2 ausgeführt
2) Über die GUI gar nicht - man kann sich die certs nur per Hand aus den Ordnern kopieren (aus der DS oder direkt aus einem DSM-Installationsfile)

Fozzybaer · 02. Apr 2014

Wie Frogman schon sagte ist Sicherheitstechnisch kein Vorteil zu sehen. Deine Website liefert "nur" das Zertifikat. Der asymmetrische Schlüssel wird erst beim Aufruf der Seite am client generiert, oder ein gemeinsamer symmetrischer Schlüssel sitzungsbasiert ausgehandelt.
Du darfst nicht vergessen, es handelt sich hier "nur" um eine Transportverschlüsselung der Daten. Sowohl auf dem Server, als auch auf dem Client sind die Daten in Klarschrift einsehbar. Anders bei Email Zertifikaten und der Generierung eines privaten Schlüssels zum entschlüsseln. Aber das führt zu weit

snakemax · 02. Apr 2014

@Ameisentaetowierer

"Man kann sein eigenes öffentliches CA-Zertifikat irgendwo (Dropbox, etc) hinterlegen und Freunden den Link zum Downloaden und Installieren schicken.
Ansonsten hilft nur ein echtes Zertifikat."

So habe ich es auch gelöst.

Danke für die vielen Informationen,

Gruß Max

tanka · 05. Apr 2014

Fozzybaer schrieb:
Du darfst nicht vergessen, es handelt sich hier "nur" um eine Transportverschlüsselung der Daten. Sowohl auf dem Server, als auch auf dem Client sind die Daten in Klarschrift einsehbar.

In dem Moment wo Client (mein PC mit Browser) und Server (meine DS zu Hause am Router) in meinem Besitz sind, ist doch eine Transportverschlüsselung ausreichend, oder?

Die Geschichte mit Public und Private Key hab ich schonmal verstanden gehabt. Wo kann ich denn das ganze verständlich nachschauen/nachlesen?

MFG

Frogman · 05. Apr 2014

Wenn sowohl Client als auch Server in Deinem Besitz sind und die beiden im LAN miteinander reden, stellt sich die Frage, ob Du überhaupt verschlüsseln willst - wenn nicht gerade andere User mit in Deinem LAN aktiv sind, die Dir Böses wollen (was man bei Familienmitgliedern oder ähnlichem ja meist ausschließen kann), ist eine Transportverschlüsselung eigentlich überflüssig. Sie ist ja eher dafür gedacht, wenn die Daten durch Bereiche transportiert werden, die von anderen eingesehen werden können, bspw. zwischen Deinem Homeserver und einem mobilen Client unterwegs.

Details zu PKI-Grundlagen findest Du bspw. hier. Google ist da ein unerschöpflicher Quell.

tanka · 05. Apr 2014

Frogman schrieb:
Sie ist ja eher dafür gedacht, wenn die Daten durch Bereiche transportiert werden, die von anderen eingesehen werden können, bspw. zwischen Deinem Homeserver und einem mobilen Client unterwegs.

Genau das ist ja meistens der Fall. Die DS steht zu Hause und der PC im Internetcafé.

Wie komme ich an das orginal Syno Zertifikat ran? Wo liegt das gespeichert?

Frogman · 05. Apr 2014

tanka schrieb:
Genau das ist ja meistens der Fall. Die DS steht zu Hause und der PC im Internetcafé.

Dann solltest Du oben nicht "mein PC mit Browser" schreiben bzw. davon, dass der Client in Deinem Besitz sei!

rumknapser · 09. Apr 2014

tanka schrieb:
Wie komme ich an das orginal Syno Zertifikat ran? Wo liegt das gespeichert?

Schau mal hier: /usr/syno/etc/ssl/

Ansonsten einfach auf der Kiste nach *.crt suchen, damit bekommst Du alle Orte angezeigt, in denen Zertifikate rumfliegen (Oder nur Dateien, die die Dateiendung .CRT haben...)

Suche

Welches standard Zertifikat? Exportierbar?

tanka

Benutzer

Anzeige

Fozzybaer

Benutzer

snakemax

Benutzer

Fozzybaer

Benutzer

dil88

Benutzer

Ameisentaetowierer

Benutzer

dil88

Benutzer

Frogman

Benutzer

tanka

Benutzer

Frogman

Benutzer

Fozzybaer

Benutzer

snakemax

Benutzer

tanka

Benutzer

Frogman

Benutzer

tanka

Benutzer

Frogman

Benutzer

rumknapser

Benutzer

Kaffeautomat