SSL Produkte

  • Die Zertifizierungsstelle hat mit der "Stärke" der Verschlüsselung nichts zu tun

    Da haste natürlich recht aber trozdem würde ich trozdem gerne wissen welche stelle das ist.
    Theorethisch könnte ja hinter der Stelle auf die nsa oder die russenmafia sitzen immer "Sicher bla bla.... Sicher", denke zwar nicht das netcup sowas anbietet :) aber wäre ja trozdem gut sowas zu wissen

  • Also nochmal dieses Zertifikat ist quasi nur son Offizielles Ding, die Verschlüsselung hängt z.B. von deinem Webserver ab mit welchen Algorithmus er verschlüsselt empfohlen ist AES256 oder sowas in die Richtung. Du kannst im Grunde auch mittels OpenSSL eigene Zertifikate basteln die, deine Besucher dann eigenhändig installieren müssen damit der Browser nicht meckert. Sonst ist dahinter eigentlich nichts weiter, für Firmen ist so ne Offizielle Sache halt schon wiederum Image...


    Die Verschlüsselungsstärke hängt quasi von dir ab, das Qualitätsmerkmal der Zertifikate ist die Browser Akzeptanz.


    Bei Comodo solltest du etwas aufpassen sind schon paar mal bei Heise erwähnt worden, nein nicht positiv.

  • Das mit der "Akzeptanz" ist eh nur Geldmacherei.


    Naja, das schon. Aber es war halt eine praktische Möglichkeit, damit man sich halbwegs sicher sein konnte, dass man mit dem richtigen Server verbunden ist, weil die CA es vorher überprüft. Dass genau das mittlerweile die große Schwachstelle ist, wissen wir ja bereits, wird sich aber leider nicht mehr so schnell ändern lassen… :D


    Theorethisch könnte ja hinter der Stelle auf die nsa oder die russenmafia sitzen immer "Sicher bla bla.... Sicher"


    Die CA signiert Dein Zertifikat (anhand Deines CSR) nur. Letzten Endes basiert die Verschlüsselung auf ganz anderen Faktoren, siehe: Asymmetrisches Kryptosystem – Wikipedia


    Und darauf hat die CA keinen Zugriff, solange Du Key/CSR selbst generierst und nicht irgendwo über ein Webformular. Zusammen mit PFS könnte Dir dann später sogar der private Schlüssel gestohlen werden, ohne dass vorherige Verbindungen entschlüsselt werden könnten.



    MfG Christian

  • Die Stärke der Verschlüsselung ist unabhängig von der Zertifizierungsstelle. Die Konfigurierst du über deinen Webserver (bzw. anderen Dienst, welcher verschlüsselt übertragen soll).


    "Comodo, Kaspersky" etc. stellen nur sicher, dass die Browser/Mailclients u.s.w. das Zertifikat ohne Murren akzeptieren. Das eine hat mit dem anderen im Grunde nichts zu tun.