Selbstsigniertes Zertifikat und Firefox

  • Allgemein

Es gibt 5 Antworten in diesem Thema. Der letzte Beitrag () ist von EaranMaleasi.

    Selbstsigniertes Zertifikat und Firefox

    Hey Leute,

    Ich teste gerade die Einbindung einer ASP.NET Core WebAPI Anwendung in einen IIS. Dazu gehört natürlich auch die Einrichtung und Erzwingung TLS.
    Um es kurz zu testen hab ich ein selbstsigniertes Zertifikat angelegt. Nachdem ich im Firefox dann die Asunahme hinzugefügt habe, spricht er jedoch von einer "ungesicherten" Verbindung, anstelle von einer "unsicheren" Verbindung.
    Um kurz zu verdeutlichen was ich meine:
    Unter "ungesichert" vestehe ich, dass die Verbindung im Klartext stattfindet.
    Unter "unsicher" verstehe ich, dass die Verbindung zwar verschlüsselt wird, es jedoch probleme gibt, die die Verschlüsselung unsicher machen.

    Wenn ich mir nun die Zertifikatsdetails ansehe, steht dort "Verbindung verschlüsselt(TLS_ECDHE....)".

    Was also ist nun die Wahrheit?
    Hab genau das gleiche mit meinem Self-Signed-Certs. Die Verbindung ist in soweit sicher, da sie verschlüsselt ist. Jeder kann dieses Zertikat ja ausgestellt haben, schau dir das das Zertifikat im Firefox an, dann steht da, Dieses Zertifikat konnt nicht verifiziert werden, da der Aussteller unbekannt ist. Es wird als unsicher eingestuft, weil es selbst signiert ist. So ist ja nie wirklich nachvollziehbar ob die besuchte Seite wirklich die richtige ist.

    Edit @EaranMaleasi

    Gab mal in den Medien Berichte, wie mit optisch gleich aussehen Domainnamen Konzernseiten gefaked wurden, mit hilfe von Unicode-Domains, wegen der vielen Zeichen im Zeichensatz, kann es sein, das man da einen fast gleich aussehenden Buchstaben findet, so das Besucher keinen Unterschied bemerken. Habe ich eine Webseite gefaked, ist mir eigendlich unmöglich ein Zertifikat einer Offiziellen CA vom Inhaber der originalen Seite zu bekommen.
    Cloud Computer? Nein Danke! Das ist nur ein weiterer Schritt zur totalen Überwachung.
    „Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.“
    Benjamin Franklin

    Dieser Beitrag wurde bereits 7 mal editiert, zuletzt von „NoIde“ ()

    petaod schrieb:

    Das könnte auch eine schlampige Übersetzung sein.
    Das habe ich mir auch schon gedacht, wollte jedoch dazu nochmal bestätigung haben^^

    NoIde schrieb:

    Hab genau das gleiche mit meinem Self-Signed-Certs. Die Verbindung ist in soweit sicher, da sie verschlüsselt ist.
    Das ist alles was ich im Moment brauche. Ich will einfach nur sicherstellen, dass die TLS-Verschlüsselung an sich funktioniert. Dass später ein valides Zertifikat im IIS hinterlegt ist, ist dann glücklicherweise Aufgabe des Anwenders.
    Kannst ja mal mit Wireshark Packet-Sniffing in deinem Netzwerk betreiben wenn du die Seite via http besuchst und dann noch mal via https.

    Dann hast du das noch mal bestätigt ;)
    Cloud Computer? Nein Danke! Das ist nur ein weiterer Schritt zur totalen Überwachung.
    „Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.“
    Benjamin Franklin