[Metalab] https Zertifikate ( Sicherheit ? )

Peter J. Holzer hjp-metalab at hjp.at
Fri Aug 22 18:41:42 CEST 2014 

On 2014-08-22 16:40:43 +0200, Andi Stern wrote:
> also beim IE hat der Arbeitgeber das Zertifikat hinterlegt, und für
> den Firefox hat der Support eine Anleitung zum Hinterlegen dieses
> Zertifikats zur Verfügung gestellt.

Kann man aus der Auslassung schließen, dass für Opera kein
Root-Zertifikat hinterlegt worden ist? Dann ist klar, warum Opera als
einziger schreit. Allen anderen hat man ja gesagt, dass die Root-CA
vertrauenswürdig ist.


> Opera zeigt ein Warnungsfenster an (Zertifikatskette unvollständig
> oder so ähnlich),

Ja, das klingt nach fehlendem Root-Zertifikat.

> der mittlere Reiter ( Sicherheit ) zeigt als Inhaber
> www.pensionsversicherung.at und als Aussteller Webgateway an. Unter
> Einzelheiten sehe ich eben jene zwei Zertifikate, nämlich
> www.pensionsversicherung.at und Webgateway.

Das ist eine normale Certificate Chain. www.pensionsversicherung.at
wurde von Webgateway zertifiziert. Das hast Du bei jeder Website
(Ausnahme: self-signed certificate), oft auch über längere Ketten.

Das sind nicht zwei Zertifikate für eine Website, sondern eines für die
Website und eines für die CA.


> Zu Hause ist jedoch der Aussteller a-sign-SSL-03, der Inhaber jedoch
> www.sozialversicherung.at - Hauptverband der Oesterreichischen
> Sozialversicherungstraeger
> 
> das zweite Zertifikat, a-sign-SSL-03 ist von A-Trust-nQual-03
> ausgestellt und das dritte, A-Trust-nQual-03 von A-Trust-nQual-03 -
> alle A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH
> 
> Das Zertifikat in der Firma ist ganz offensichtlich ein anderes als
> jenes zu Hause. Was können wir daraus folgern?

Dass Dein Arbeitgeber eine Man-in-the-Middle-Attacke gegen seine
Mitarbeiter fährt. Aber gut, das war ja wohl der offensichtliche Sinn
des Proxys.


> Ach ja, und bei easybank.at meckert Opera nicht ....

Offenbar haben eure Admins da eine Ausnahme konfiguriert. Aber nichts
(außer vielleicht unternehmensinterne Workflows) würde sie daran
hindern, diese Ausnahme wieder zu entfernen. Und da das
Webgateway-Zertifikat in Firefox und IE als vertrauenswürdig hinterlegt
wurde, würden die (im Gegensatz zum Opera) auch nicht meckern.

	hp

-- 
   _  | Peter J. Holzer    | I want to forget all about both belts and
|_|_) |                    | suspenders; instead, I want to buy pants 
| |   | hjp at hjp.at         | that actually fit.
__/   | http://www.hjp.at/ |   -- http://noncombatant.org/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 828 bytes
Desc: Digital signature
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20140822/9c015376/attachment.sig>

More information about the Metalab mailing list