Unterschiede zwischen den Revisionen 2 und 4 (über 2 Versionen hinweg)
Revision 2 vom 2012-04-21 10:58:48
Größe: 1915
Kommentar:
Revision 4 vom 2013-05-23 15:49:13
Größe: 2575
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 7: Zeile 7:
mur.at verwendet daher ausschließlich Zertifikate, die von [[http://cacert.org/|CaCert]] signiert sind. Wir sehen keinen Benefit darin, einer Firma viel Geld für diese Leistung zu bezahlen. Das bringt allerdings ein Problem mit sich: Zur Verifizierung eines Zertifikates benötigt der Client den öffentlichen Schlüssel (das root certificate) der Stelle, die das Zertifikat signiert hat. Die Schlüssel der meisten Firmen, die Zertifikate verkaufen, werden bereits mit den meisten Clients oder Betriebssystemen mitgeliefert. Die Lösung ist glücklicherweise auch (meistens) recht simpel. Für Firefox reicht es, einmal den öffentlichen Schlüssel von [[http://cacert.org/|CaCert]] zu installieren, und alle Zertifikate, die von [[http://cacert.org/|CaCert]] ausgestellt/signiert wurden werden korrekt erkannt. Seit August 2012 verwendet mur.at zusätzlich zu den unten erwähnten Zertifikaten von [[http://cacert.org/|CaCert]] auch Zertifikate, die von [[http://www.terena.org/activities/tcs/|Terena]] über das [[https://wiki.univie.ac.at/pages/viewpage.action?pageId=29786574|ACOnet Zertifikats Service]] ausgestellt wurden.

mur.at verwendet ausserdem (noch) Zertifikate, die von [[http://cacert.org/|CaCert]]
signiert sind. Wir sehen keinen Benefit darin, einer Firma viel Geld für diese Leistung zu bezahlen. Das bringt allerdings ein Problem mit sich: Zur Verifizierung eines Zertifikates benötigt der Client den öffentlichen Schlüssel (das root certificate) der Stelle, die das Zertifikat signiert hat. Die Schlüssel der meisten Firmen, die Zertifikate verkaufen, werden bereits mit den meisten Clients oder Betriebssystemen mitgeliefert. Die Lösung ist glücklicherweise auch (meistens) recht simpel. Für Firefox reicht es, einmal den öffentlichen Schlüssel von [[http://cacert.org/|CaCert]] zu installieren, und alle Zertifikate, die von [[http://cacert.org/|CaCert]] ausgestellt/signiert wurden werden korrekt erkannt.

Details zu den Terena-Zertifikaten und wie Du so ein Zertifikat für Deinen Server bekommen kannst findest Du auf der ]]SSLZertifikate]]-Seite.
Zeile 11: Zeile 15:
Durch einen Klick auf den Link zum [[https://www.cacert.org/certs/class3.crt|CaCert root certificate]] können die meisten Browser das root certificate sofort installieren. Die von [[http://www.terena.org/activities/tcs/|Terena]] ausgestellten Zertifikate sollten von jedem modernen Browser anstandslos und ohne weiteres zutun der/des User*ins akzeptier werden. Durch einen Klick auf den Link zum [[https://www.cacert.org/certs/class3.crt|CaCert root certificate]] kann in den meisten Browsern das root certificate einfach installiert werden.

Transport Layer Security (TLS) und Secure Socket Layer (SSL)

Beide Techniken werden verwendet, um Kommunikation über das Netzwerk sicherer und vertrauensvoller zu gestalten. Dazu wird der Kommunikationskanal verschlüsselt. Services, die TLS/SSL verwenden, benutzen außerdem sogenannte X509-Zertifikate, um sich gegenüber dem Client (Thunderbird, Firefox, Safari, IE, Outlook, Mail, etc.) auszuweisen. Diese Zertifikate müssen von einer übergeordneten Stelle signiert sein. Viele Anbieter dieses Services verlangen unverschämte Beträge für das Signieren von Zertifikaten.

Seit August 2012 verwendet mur.at zusätzlich zu den unten erwähnten Zertifikaten von CaCert auch Zertifikate, die von Terena über das ACOnet Zertifikats Service ausgestellt wurden.

mur.at verwendet ausserdem (noch) Zertifikate, die von CaCert signiert sind. Wir sehen keinen Benefit darin, einer Firma viel Geld für diese Leistung zu bezahlen. Das bringt allerdings ein Problem mit sich: Zur Verifizierung eines Zertifikates benötigt der Client den öffentlichen Schlüssel (das root certificate) der Stelle, die das Zertifikat signiert hat. Die Schlüssel der meisten Firmen, die Zertifikate verkaufen, werden bereits mit den meisten Clients oder Betriebssystemen mitgeliefert. Die Lösung ist glücklicherweise auch (meistens) recht simpel. Für Firefox reicht es, einmal den öffentlichen Schlüssel von CaCert zu installieren, und alle Zertifikate, die von CaCert ausgestellt/signiert wurden werden korrekt erkannt.

Details zu den Terena-Zertifikaten und wie Du so ein Zertifikat für Deinen Server bekommen kannst findest Du auf der ]]SSLZertifikate]]-Seite.

Browser Installation

Die von Terena ausgestellten Zertifikate sollten von jedem modernen Browser anstandslos und ohne weiteres zutun der/des User*ins akzeptier werden. Durch einen Klick auf den Link zum CaCert root certificate kann in den meisten Browsern das root certificate einfach installiert werden.

Linux

Wer Linux als Betriebssystem verwendet, sollte dieses Problem nicht haben, da die meisten Distributionen das root certificate von CaCert bereits mitlieferen.

Win

Mac

mur: TLS+SSL (zuletzt geändert am 2023-12-20 18:36:03 durch FabienArtal)