Skip to content

CAs hinzufügen ...

Geschrieben von Dirk Deimeke am
linux Für den Fall, dass das noch jemand anderes benötigt.

Um andere Certificate Authorities (CAs) zu Linux hinzuzufügen, sind nur kleine Schritte nötig. Hier einmal am Beispiel CAcert.

Debian:
curl http://www.cacert.org/certs/root.crt -o /usr/local/share/ca-certificates/cacert_root.crt
curl http://www.cacert.org/certs/class3.crt -o /usr/local/share/ca-certificates/cacert_class3.crt
update-ca-certificates


CentOS:
update-ca-trust enable
curl http://www.cacert.org/certs/root.crt -o /etc/pki/ca-trust/source/anchors/cacert_root.crt
curl http://www.cacert.org/certs/class3.crt -o /etc/pki/ca-trust/source/anchors/cacert_class3.crt
update-ca-trust extract


ACHTUNG: In jedem Fall sollte vor dem Ausführen von update-ca-certificates bzw. update-ca-trust extract die Fingerprints der Zertifikate überprüft werden.

Trackbacks

Dirks Logbuch am : Zertifikate und CAs ...

Vorschau anzeigen
Nach dem Artikel CAs hinzufügen bin ich zurecht darauf "hingewiesen" worden, dass ich ein Wort zum Prüfen von Fingerprints hätte verlieren sollen, dass habe ich als Achtung noch nachträglich getan. Allerdings muss ich gestehen, dass ich das Thema rund um

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Shogun am :

*Kleiner Fehler im Debian-Beispiel: es wird zwei Mal root.crt abgeholt.

Dirk Wetter am :

*1) Ich würde eher CAs wegwerfen als hinzufügen ;-)

2) Das gewissenhafte Hinzufügen von CACert-CAs ist nach erstem Hinschauen nicht so trivial. Also erstmal -- siehe Warnnug von Dirk D -- nicht einfach die Befehle ausführen, sondern nachdenken! Wer irgendwelche Root-CAs ohne Verifizierung sich in Zertifikatsspeicher reinwürfelt wird mit potenziellem MiTM nicht unter 30 Jahren bestraft.

3) Ohne groß reinzuschauen: Wer die Root-CA von CACert nicht hat und den Fingerprint nicht von einer dritten Seite sich besorgen kann, steht vor einem Problem: Per HTTPS kommt man nicht an das CACert ohne dem Root-Zertifikat zu vertrauen, was sie leider selber verwenden. Da wäre eine "trusted CA" prima, obwohl das natürlich schlechte Eigenwerbung wär. Chicken-Egg-Problem 1.

4) Der Fingerprint befindet sich auch auf derselben Seite -- Chicken-Egg-Problem 2.

Anscheinsbeweis: wer nach dem Fingerprint googelt ( openssl x509 -in root.crt -fingerprint -noout) ) sieht, dass es eine Menge Treffer gibt. Wenn man diesem Fingerprint auch hat, erscheint es unwahrscheinlich, dass der falsch ist. Wenn man dann möchte und Gründe hat, kann man das CACert in seinen heiligen Zertifikatsspeicher einfügen.

Dirk Deimeke am :

*Das ganze Verfahren ist kaputt und das aus mehreren Gründen. Ich würde gerne einmal bei null anfangen wollen.

Mit allen Deinen Punkten gebe ich Dir Recht. Ich habe einen Artikel für Morgen vorbereitet, der das Thema aus meiner Sicht zusammenfasst.

Du kommst nicht darum herum an irgendeinem Punkt des ganzen Verfahrens zu vertrauen. Es gibt keine hundertprozentige Sicherheit, ich wüsste auch nicht, wie man die herstellen könnte.

(Danke, dass Du hier im Blog noch kommentiert hast).

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen
Datenschutzerklärung / Impressum