© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am 16.01.2013 um 20:48 schrieb "Bernhard(at)gtkx.de" <Bernhard(at)gtkx.de>:
> Hallo alle,
>
> ich rate vom ssl "aufrechen" ab, denn, ssl soll eine sichere verbidung zwischen client und server garantieren.
>
> Der Anweder get also davon aus, dass ssl sicher ist. Bricht man das mun auf, tut man genau das was man eigentlich verhindern will. "eine man in the mittle attac"
>
> ich hab heute im interner gesucht, einfach ist das nicht und in deutschland mit sicherheit nicht legal. Da steht man mit einem bein schon im knast.
Naja, innerhalb der Firma, unter Einbeziehung von Mitarbeitern und Betriebsrat dürfte es schon gehen.
So wie ich verstanden habe funktioniert das ja so, dass es auf der Firewall eine eigene CA gibt (die bei den Browsern im LAN als "Trusted" markiert ist) und die die Verbindungen "aufbricht" und gleich wieder neu verschlüsselt, mit dem Zertifikat der CA.
Es wird dabei jeweils ggf. ein neues Zertifikat für den Hostnamen ausgestellt.
Kann man auf die Art überhaupt noch das Original-Zertifikat auf Gültigkeit untersuchen?
Es gibt ja auch einen Haufen selbst-signierte Zertifikate im Web, oder solche die aus anderen Gründen nicht mehr gültig sind (abgelaufen), wo man aber trotzdem eine Verbindung herstellen will.
Das SSL eh' überbewertet ist, steht natürlich auf einem anderen Blatt…
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 16 Jan 2013 - 21:16:31 CET