Re: CA-Zertifikat ändern
Von: Richard W. Könning (richard.koenning@t-online.de) [Profil]
Datum: 24.06.2008 20:46
Message-ID: <g3rfdr$178$02$1@news.t-online.com>
Newsgroup: de.comp.security.misc
Datum: 24.06.2008 20:46
Message-ID: <g3rfdr$178$02$1@news.t-online.com>
Newsgroup: de.comp.security.misc
Bernd Eckenfels <ecki@lina.inka.de> wrote: >Richard W. Könning <Richard.Koenning@t-online.de> wrote: >> Wenn der Browser ein evtl. mitgeschicktes Root-CA-Zertifikat >> verwendet, dann ist der Browser broken, und zwar heftigst. > >Es geht ja nicht im das verwenden (im sinne von vertrauen) sondern um das >abgleichen (der Attribute) mit dem gespeicherten. Wozu? Entweder sie sind identisch oder das mitgeschickte wird verworfen, in beiden Fällen kann man es sich sparen, das mitgeschickte anzuschauen. Für das Vertrauen ist das unabhängig erhaltene Root-CA-Zertifikat relevant, daher darf der Server laut RFC 2246 zwar ein Root-CA-Zertifikat mitsenden, er kann es aber auch sein lassen, weil es für die Verifizierung keine Rolle spielt. Ciao, Richard -- Dr. Richard Könning Heßstraße 63 Tel.: 089/5232488 80798 München[ Auf dieses Posting antworten ]
Antworten
- Bernd Eckenfels (24.06.2008 20:57)
- Richard W. Könning (24.06.2008 22:22)
- Bernd Eckenfels (24.06.2008 22:30)
- Richard W. Könning (24.06.2008 22:34)
- Anonymous Poster (24.06.2008 22:58)
- Richard W. Könning (24.06.2008 23:15)
- Bernd Eckenfels (24.06.2008 23:13)
- Richard W. Könning (25.06.2008 00:01)
- Bernd Eckenfels (25.06.2008 00:06)
- Richard W. Könning (25.06.2008 00:32)
- Anonymous Poster (25.06.2008 01:34)
- Michael Ströder (25.06.2008 00:10)