Wiki "Generierung eines eigenen SSL-Zertifikats": Warum MD5 als Signaturalgorithmus?!
Hallo,
ich habe mir nach dem Artikel Generierung eines eigenen SSL-Zertifikats des hiesigen Wikis schon vor längerer Zeit auf einer DS-106j mit DSM 3.2-1944 (DS-108j-Firmware) ein 2048-bit SSL-Zertifikat generiert. Das benutzte openssl ist laut "which openssl" das der Optware-Installation, also /opt/bin/openssl, version 0.9.7m vom 23. Februar 2007.
Die resultierende Datei ca.crt habe ich als "Certificate Authority", also als eigene Zertifizierungsstelle (nicht als ausnahmsweise zu akzeptierendes Zertifikat einer unbekannten Zertifizierungsstelle, wie es hier offenbar sonst viele machen), in Firefox eingebunden.
Zu meiner Verwunderung erkennt Firefox dieses Zertifikat seit dem zum jetzigen Zeitpunkt aktuellen Firefox 16 als unsicher, die Fehlermeldung ist
Zu meiner Überraschung wird innerhalb der Zertifikatsdetails der Firefox-Zertifikatsansicht als Zertifikatssignierungsalgorithmus tatsächlich "PKCS #1 MD5 mit RSA-Verschlüsselung" angezeigt. MD5 gilt in dieser Konstellation ja als komprimitiert und sollte nicht mehr verwendet werden (vergleiche unter anderem Firefox Bugs 650355, 758314).
Einzige Abhilfe, um die eigene Certificate Authority von Firefox wieder als valide erkennen zu lassen, ist, mit
die interne Firefox-Konfiguration aufzurufen und den Wert
manuell von "false" auf "true" zu stellen.
Das aber kann keine langfristige Lösung sein, denn dieser "Workaround" führt ja dazu, dass mit MD5 unsicher signierte Zertifikate generell akzeptiert werden (also nicht nur meines, sondern ausnahmslos alle).
Deshalb meine Fragen:
Vielen Dank!
Hallo,
ich habe mir nach dem Artikel Generierung eines eigenen SSL-Zertifikats des hiesigen Wikis schon vor längerer Zeit auf einer DS-106j mit DSM 3.2-1944 (DS-108j-Firmware) ein 2048-bit SSL-Zertifikat generiert. Das benutzte openssl ist laut "which openssl" das der Optware-Installation, also /opt/bin/openssl, version 0.9.7m vom 23. Februar 2007.
Die resultierende Datei ca.crt habe ich als "Certificate Authority", also als eigene Zertifizierungsstelle (nicht als ausnahmsweise zu akzeptierendes Zertifikat einer unbekannten Zertifizierungsstelle, wie es hier offenbar sonst viele machen), in Firefox eingebunden.
Zu meiner Verwunderung erkennt Firefox dieses Zertifikat seit dem zum jetzigen Zeitpunkt aktuellen Firefox 16 als unsicher, die Fehlermeldung ist
Rich (BBCode):
(Fehlercode: sec_error_cert_signature_algorithm_disabled)Zu meiner Überraschung wird innerhalb der Zertifikatsdetails der Firefox-Zertifikatsansicht als Zertifikatssignierungsalgorithmus tatsächlich "PKCS #1 MD5 mit RSA-Verschlüsselung" angezeigt. MD5 gilt in dieser Konstellation ja als komprimitiert und sollte nicht mehr verwendet werden (vergleiche unter anderem Firefox Bugs 650355, 758314).
Einzige Abhilfe, um die eigene Certificate Authority von Firefox wieder als valide erkennen zu lassen, ist, mit
Rich (BBCode):
about:configdie interne Firefox-Konfiguration aufzurufen und den Wert
Rich (BBCode):
security.enable_md5_signaturesmanuell von "false" auf "true" zu stellen.
Das aber kann keine langfristige Lösung sein, denn dieser "Workaround" führt ja dazu, dass mit MD5 unsicher signierte Zertifikate generell akzeptiert werden (also nicht nur meines, sondern ausnahmslos alle).
Deshalb meine Fragen:
- Warum ist mir beim Vorgehen nach dem Wiki-Artikel von openssl ein mit MD5 signiertes Zertifikat generiert worden? Sollte dafür heute nicht vielmehr SHAx benutzt werden?
- Liegt das an der möglicherweise viel zu alten openssl-Version, die man da mit der IPKG-Installation erhält?
- Und könntet Ihr vielleicht einmal nachsehen, was bei Euren nach dieser Anleitung selbstgenerierten Zertifikaten als "Zertifikatssignierungsalgorithmus" von Firefox angegeben wird?
Vielen Dank!
Zuletzt bearbeitet:
