Netzwerk - Ver/Entschlüsseln

[WorldRacer]

Hallo Bratkartoffel,

ich werde mir das mal anschauen. Wie sieht das aus, bringt das einen Sicherheitsnachteil, wenn ich das Zertifikat am Client weglasse und nur das vom Server nutze?

Beziehe mich hier auf das Tut: http://www.simple-talk.com/dotnet/.net-framework/tlsssl-and-.net-framework-4.0/

LG
Marco

 

[Bratkartoffel]

Hi,

der Client braucht kein Zertifikat. Um die Seite https://startssl.com aufzurufen, braucht dein Browser von denen auch keins. Nur das Stammzertifikat muss im Browser hinterlegt sein, damit er weiß ob er dem Aussteller vertrauen kann oder nicht. In deinem Beispiel wäre das Stammzertifikat deine eigene CA.

Client-Zertifikate machen nur für Hoch-Sicherheits-Anwendungen Sinn und sind meiner Erfahrung nach nicht oft im Einsatz.

Zu dem Tutorial kann ich dir leider nichts sagen, ich kann kein .Net, ich kann dir nur von der technischen / theoretischen Seite her Unterstützung anbieten.

Gruß,
BK

 

[WorldRacer]

Okay, heißt wenn ich die TLS-Variante nutze muss ich zwangsweise auch eine ca aufsetzen?

 

[Bratkartoffel]

Hi,

so viel Aufwand ist das nicht, das hört sich schlimmer an als es ist. Unter Linux gibts da zum Beispiel das schöne Tool TinyCA. Mit dem gehts einfach und unkompliziert.

Du kannst natürlich auch ein selbst-signiertes Zertifikat erstellen, da musst du aber den Fingerprint an den Client mit ausliefern. Ein Wechsel des Serverzertifikats ist auch nicht möglich, das heißt wenn es abläuft, dann gibts bei den Clients viele Fehlermeldungen.

Gruß,
BK