Transport Layer Security (TLS) und Secure Socket Layer (SSL)

Beide Techniken werden verwendet, um Kommunikation über das Netzwerk sicherer und vertrauensvoller zu gestalten. Dazu wird der Kommunikationskanal verschlüsselt. Services, die TLS/SSL verwenden, benutzen außerdem sogenannte X509-Zertifikate, um sich gegenüber dem Client (Thunderbird, Firefox, Safari, IE, Outlook, Mail, etc.) auszuweisen. Diese Zertifikate müssen von einer übergeordneten Stelle signiert sein. Viele Anbieter dieses Services verlangen unverschämte Beträge für das Signieren von Zertifikaten.

Seit August 2012 verwendet mur.at zusätzlich zu den unten erwähnten Zertifikaten von CaCert auch Zertifikate, die von Terena über das ACOnet Zertifikats Service ausgestellt wurden.

mur.at verwendet ausserdem (noch) Zertifikate, die von CaCert signiert sind. Wir sehen keinen Benefit darin, einer Firma viel Geld für diese Leistung zu bezahlen. Das bringt allerdings ein Problem mit sich: Zur Verifizierung eines Zertifikates benötigt der Client den öffentlichen Schlüssel (das root certificate) der Stelle, die das Zertifikat signiert hat. Die Schlüssel der meisten Firmen, die Zertifikate verkaufen, werden bereits mit den meisten Clients oder Betriebssystemen mitgeliefert. Die Lösung ist glücklicherweise auch (meistens) recht simpel. Für Firefox reicht es, einmal den öffentlichen Schlüssel von CaCert zu installieren, und alle Zertifikate, die von CaCert ausgestellt/signiert wurden werden korrekt erkannt.

Details zu den Terena-Zertifikaten und wie Du so ein Zertifikat für Deinen Server bekommen kannst findest Du auf der SSLZertifikate-Seite.

Browser Installation

Die von Terena ausgestellten Zertifikate sollten von jedem modernen Browser anstandslos und ohne weiteres zutun der/des User*ins akzeptier werden. Durch einen Klick auf den Link zum CaCert root certificate kann in den meisten Browsern das root certificate einfach installiert werden.

Linux

Wer Linux als Betriebssystem verwendet, sollte dieses Problem nicht haben, da die meisten Distributionen das root certificate von CaCert bereits mitlieferen.

Win

Mac

mur: TLS+SSL (last edited 2013-05-23 15:49:24 by JogiHofmueller)