Discussion:
CAcert Stammzertifikat downloaden
Rüdiger Schultz
2015-04-19 08:22:06 UTC
Permalink
Hallo liebe Mit-CAcertler,

Ist es sinnvoll, die Seite zum Downloaden des Stammzertifikats als HTTPS
Seite zu erzwingen?
Stellt Euch folgende Situation vor, bevor Ihr reflexartig sagt: ja
natürlich:

Ein (normal erfahrener) Internet User kommt auf eine Website mit CAcert
Zertifikat - sein Browser informiert ihn, dass dies "unsicher" ist (je nach
Browser in mehr oder weniger drastischer Wortwahl), und blockiert die Seite.
Der User fragt sich durch und erfährt, dass er das Stammzertifikat von
CAcert installieren muss. Er geht auf die entsprechende Seite, und wird dort
schon wieder aktiv von seinem Browser gehindert, diese Seite zu öffen.
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!

Wie soll er dann das Zertifikat installieren, wenn er zuerst das Zertifikat
installieren muss, um zum Download für die Zertifikatsinstallation zu
gelangen (man kann diesen Satz beliebig oft in einer Endlos-Schleife
durchlesen).

Liebe Grüsse
Rüdiger Schultz

PS: die Installationsdatei NICHT von CAcert.org zu nutzen, sondern selbst
zum Download anzubieten, ist meiner Meinung nach nicht gerade
vertrauensfördernd.
Werner Dworak
2015-04-19 08:43:08 UTC
Permalink
Hallo Rüdiger Schultz,
Post by Rüdiger Schultz
Ist es sinnvoll, die Seite zum Downloaden des Stammzertifikats als HTTPS
Seite zu erzwingen?
Nein, denn da hättest Du ein Henne-Ei-Problem. Denn um feststellen zu
können, dass das Server-Zertifikat echt ist, müsstest Du schon die
Stammzertifikate installiert haben, die willst Du aber erst herunterladen.
Post by Rüdiger Schultz
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Dann stimmt etwas nicht. Aus dem oben genanntem Grund muss diese Seite
auch als http ohne s verfügbar sein.

Je nach Inhalt gibt es einige Seiten auf unserem Server, die nur als
http bereitstehen, einige, die sowohl als http als auch als https
aufgerufen werden können und einige, die es nur als https gibt.

Darüber hinaus gibt es einige Seiten, auf die Du nur zugreifen kannst,
wenn Du ein Client-Zertifikat von CAcert vorweisen kannst.
Post by Rüdiger Schultz
Wie soll er dann das Zertifikat installieren, wenn er zuerst das Zertifikat
installieren muss, um zum Download für die Zertifikatsinstallation zu
gelangen
Natürlich geht das nicht. Aber ich kann Dir gerade nicht sagen, woran es
da bei Dir klemmt. Irgend eine Einstellung stimmt da nicht.
Post by Rüdiger Schultz
PS: die Installationsdatei NICHT von CAcert.org zu nutzen, sondern selbst
zum Download anzubieten, ist meiner Meinung nach nicht gerade
vertrauensfördernd.
Nein, diese Dateien sollten stets vom CAcert-Server geholt werden und
nicht von Drittanbietern. Und da der Fingerabdruck auf unabhängigem Weg
übermittelt werden sollte, ist er z.B. auf den CAP-Formularen
aufgedruckt und wird auch von einigen Computerzeitschriften immer mal
wieder abgedruckt.

Viele Grüße, Werner
Rüdiger Schultz
2015-04-19 09:05:20 UTC
Permalink
Dann probiert bitte mal diesen Link bei Euch aus und schaut was passiert...
http://www.cacert.org/index.php?id=3 (OHNE HTTPS)



-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org
[mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Werner Dworak
Gesendet: Sonntag, 19. April 2015 10:43
An: cacert-***@lists.cacert.org
Betreff: Re: CAcert Stammzertifikat downloaden

Hallo Rüdiger Schultz,
Post by Rüdiger Schultz
Ist es sinnvoll, die Seite zum Downloaden des Stammzertifikats als HTTPS
Seite zu erzwingen?
Nein, denn da hättest Du ein Henne-Ei-Problem. Denn um feststellen zu
können, dass das Server-Zertifikat echt ist, müsstest Du schon die
Stammzertifikate installiert haben, die willst Du aber erst herunterladen.
Post by Rüdiger Schultz
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Dann stimmt etwas nicht. Aus dem oben genanntem Grund muss diese Seite
auch als http ohne s verfügbar sein.

Je nach Inhalt gibt es einige Seiten auf unserem Server, die nur als
http bereitstehen, einige, die sowohl als http als auch als https
aufgerufen werden können und einige, die es nur als https gibt.

Darüber hinaus gibt es einige Seiten, auf die Du nur zugreifen kannst,
wenn Du ein Client-Zertifikat von CAcert vorweisen kannst.
Post by Rüdiger Schultz
Wie soll er dann das Zertifikat installieren, wenn er zuerst das Zertifikat
installieren muss, um zum Download für die Zertifikatsinstallation zu
gelangen
Natürlich geht das nicht. Aber ich kann Dir gerade nicht sagen, woran es
da bei Dir klemmt. Irgend eine Einstellung stimmt da nicht.
Post by Rüdiger Schultz
PS: die Installationsdatei NICHT von CAcert.org zu nutzen, sondern selbst
zum Download anzubieten, ist meiner Meinung nach nicht gerade
vertrauensfördernd.
Nein, diese Dateien sollten stets vom CAcert-Server geholt werden und
nicht von Drittanbietern. Und da der Fingerabdruck auf unabhängigem Weg
übermittelt werden sollte, ist er z.B. auf den CAP-Formularen
aufgedruckt und wird auch von einigen Computerzeitschriften immer mal
wieder abgedruckt.

Viele Grüße, Werner
Dominik Kupschke
2015-04-19 09:12:59 UTC
Permalink
Hallo Rüdiger,

ich habe die Adresse im Chrome geöffnet, dort erscheint keine Warnung
und er bleibt auch auf HTTP (ohne S) . Mit Chrome war ich bisher auch
noch nie auf der HTTPS Variante der CACert Website, also hat er auch
noch nie die HSTS Info mitbekommen.

Mein Firefox macht aus dem http:// direkt ein https:// , der hat aber
auch dank HSTS die Anweisung dies zu tun.

Viele Grüße,
Dominik
Post by Rüdiger Schultz
Dann probiert bitte mal diesen Link bei Euch aus und schaut was passiert...
http://www.cacert.org/index.php?id=3 (OHNE HTTPS)
-----Ursprüngliche Nachricht-----
Gesendet: Sonntag, 19. April 2015 10:43
Betreff: Re: CAcert Stammzertifikat downloaden
Hallo Rüdiger Schultz,
Post by Rüdiger Schultz
Ist es sinnvoll, die Seite zum Downloaden des Stammzertifikats als HTTPS
Seite zu erzwingen?
Nein, denn da hättest Du ein Henne-Ei-Problem. Denn um feststellen zu
können, dass das Server-Zertifikat echt ist, müsstest Du schon die
Stammzertifikate installiert haben, die willst Du aber erst herunterladen.
Post by Rüdiger Schultz
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Dann stimmt etwas nicht. Aus dem oben genanntem Grund muss diese Seite
auch als http ohne s verfügbar sein.
Je nach Inhalt gibt es einige Seiten auf unserem Server, die nur als
http bereitstehen, einige, die sowohl als http als auch als https
aufgerufen werden können und einige, die es nur als https gibt.
Darüber hinaus gibt es einige Seiten, auf die Du nur zugreifen kannst,
wenn Du ein Client-Zertifikat von CAcert vorweisen kannst.
Post by Rüdiger Schultz
Wie soll er dann das Zertifikat installieren, wenn er zuerst das
Zertifikat
Post by Rüdiger Schultz
installieren muss, um zum Download für die Zertifikatsinstallation zu
gelangen
Natürlich geht das nicht. Aber ich kann Dir gerade nicht sagen, woran es
da bei Dir klemmt. Irgend eine Einstellung stimmt da nicht.
Post by Rüdiger Schultz
PS: die Installationsdatei NICHT von CAcert.org zu nutzen, sondern selbst
zum Download anzubieten, ist meiner Meinung nach nicht gerade
vertrauensfördernd.
Nein, diese Dateien sollten stets vom CAcert-Server geholt werden und
nicht von Drittanbietern. Und da der Fingerabdruck auf unabhängigem Weg
übermittelt werden sollte, ist er z.B. auf den CAP-Formularen
aufgedruckt und wird auch von einigen Computerzeitschriften immer mal
wieder abgedruckt.
Viele Grüße, Werner
--
Dominik Kupschke

Website: https://kupschke.net
E-Mail: ***@kupschke.net
Xing: https://www.xing.com/profile/Dominik_Kupschke/
LinkedIn: https://www.linkedin.com/pub/dominik-kupschke/90/110/525
Michael Nausch
2015-05-20 14:47:03 UTC
Permalink
HI!
Post by Rüdiger Schultz
Dann probiert bitte mal diesen Link bei Euch aus und schaut was passiert...
http://www.cacert.org/index.php?id=3 (OHNE HTTPS)
Ohne "s" bin ich beim Firefox "ganz normal druff", also auch keine
Fehlermeldung.


Servus
Django
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
Michael Nausch
2015-05-19 20:29:09 UTC
Permalink
Servus!
Post by Werner Dworak
Denn um feststellen zu
können, dass das Server-Zertifikat echt ist, müsstest Du schon die
Stammzertifikate installiert haben, die willst Du aber erst herunterladen.
Wieso? Das Zertifikat von cacert.org kann ich doch auch direkt via
TLSA/DANE überprüfen - und da ist alles "grün", dass sagen mit z.B.
beide Firefox-Plugins.


Servus
Django
Lucas Werkmeister
2015-04-19 09:02:35 UTC
Permalink
Post by Rüdiger Schultz
[…]
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Sobald du cacert.org einmal über HTTPS aufgerufen hast, wird dein
Browser dich wegen HSTS (HTTP Strict Transport Security: die Webseite
teilt dem Browser mit, sie soll immer über HTTPS aufgerufen werden) auf
allen CAcert-Webseiten immer über HTTPS verbinden. Um dann noch per HTTP
auf die Seite zuzugreifen, musst du einen Browser / ein Browserprofil
verwenden, der/das diese HSTS-Info noch nicht mitbekommen hat.

Mit anderen Worten: Die Seite ist sehr wohl über HTTP verfügbar, aber
nur für diejenigen, die das auch brauchen. Wer das Zertifikat schon
installiert hat, kriegt automatisch eine sichere HTTPS-Verbindung.

Viele Grüße, Lucas
Rüdiger Schultz
2015-04-19 09:17:46 UTC
Permalink
Und wie soll das ein Normaluser "können"???????

Also wenn ich einem User den HTTPS Link auf die id=3 schicke, und er
draufklickt, ist die ganze Sache "verbockt" und er kann sich das Zertifikat
nicht mehr herunterladen (außer er deinstalliert ALLE Browser auf seinem PC
und installiert dann alles nochmals neu)?
Das halte ich nicht für anwendertauglich.

Ich würde vorschlagen, diese eine Seite definitiv als "unverschlüsselte http
seite" aufrufbar zu machen.
Liebe Grüsse
Rüdiger


-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org
[mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Lucas Werkmeister
Gesendet: Sonntag, 19. April 2015 11:03
An: cacert-***@lists.cacert.org
Betreff: Re: CAcert Stammzertifikat downloaden
Post by Rüdiger Schultz
[…]
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Sobald du cacert.org einmal über HTTPS aufgerufen hast, wird dein Browser
dich wegen HSTS (HTTP Strict Transport Security: die Webseite teilt dem
Browser mit, sie soll immer über HTTPS aufgerufen werden) auf allen
CAcert-Webseiten immer über HTTPS verbinden. Um dann noch per HTTP auf die
Seite zuzugreifen, musst du einen Browser / ein Browserprofil verwenden,
der/das diese HSTS-Info noch nicht mitbekommen hat.

Mit anderen Worten: Die Seite ist sehr wohl über HTTP verfügbar, aber nur
für diejenigen, die das auch brauchen. Wer das Zertifikat schon installiert
hat, kriegt automatisch eine sichere HTTPS-Verbindung.

Viele Grüße, Lucas
Lucas Werkmeister
2015-04-19 09:21:38 UTC
Permalink
HSTS funktioniert erst, wenn der Browser es geschafft hat, eine
HTTPS-Verbindung aufzubauen. Wenn du einen HTTPS-Link schickst, aber der
Benutzer ihn nicht aufrufen kann (Zertifikat nicht installiert),
funktioniert HTTP weiterhin.
Post by Rüdiger Schultz
Und wie soll das ein Normaluser "können"???????
Also wenn ich einem User den HTTPS Link auf die id=3 schicke, und er
draufklickt, ist die ganze Sache "verbockt" und er kann sich das Zertifikat
nicht mehr herunterladen (außer er deinstalliert ALLE Browser auf seinem PC
und installiert dann alles nochmals neu)?
Das halte ich nicht für anwendertauglich.
Ich würde vorschlagen, diese eine Seite definitiv als "unverschlüsselte http
seite" aufrufbar zu machen.
Liebe Grüsse
Rüdiger
-----Ursprüngliche Nachricht-----
Gesendet: Sonntag, 19. April 2015 11:03
Betreff: Re: CAcert Stammzertifikat downloaden
Post by Rüdiger Schultz
[…]
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Sobald du cacert.org einmal über HTTPS aufgerufen hast, wird dein Browser
dich wegen HSTS (HTTP Strict Transport Security: die Webseite teilt dem
Browser mit, sie soll immer über HTTPS aufgerufen werden) auf allen
CAcert-Webseiten immer über HTTPS verbinden. Um dann noch per HTTP auf die
Seite zuzugreifen, musst du einen Browser / ein Browserprofil verwenden,
der/das diese HSTS-Info noch nicht mitbekommen hat.
Mit anderen Worten: Die Seite ist sehr wohl über HTTP verfügbar, aber nur
für diejenigen, die das auch brauchen. Wer das Zertifikat schon installiert
hat, kriegt automatisch eine sichere HTTPS-Verbindung.
Viele Grüße, Lucas
Matthias Link
2015-04-19 10:36:11 UTC
Permalink
Hallo zusammen,

so wie ich das von Opera (chromium) her kenne, wird man automatisch
auf die verschöüsselte Seite geleitet, falls das Zertifikat
installiert ist, andernfalls kommt die Warnung über die potentielle
Unsicherheit, mit der Option, das entweder abzubrechen oder die
unsichere Verbindung herzustellen. Das muss dann manuell gewählt
werden.

Grüsse
Matthias

am Sonntag, 19. April 2015 um 11:21 schrieben Sie:

LW> HSTS funktioniert erst, wenn der Browser es geschafft hat, eine
LW> HTTPS-Verbindung aufzubauen. Wenn du einen HTTPS-Link schickst, aber der
LW> Benutzer ihn nicht aufrufen kann (Zertifikat nicht installiert),
LW> funktioniert HTTP weiterhin.
Post by Rüdiger Schultz
Und wie soll das ein Normaluser "können"???????
Also wenn ich einem User den HTTPS Link auf die id=3 schicke, und er
draufklickt, ist die ganze Sache "verbockt" und er kann sich das Zertifikat
nicht mehr herunterladen (außer er deinstalliert ALLE Browser auf seinem PC
und installiert dann alles nochmals neu)?
Das halte ich nicht für anwendertauglich.
Ich würde vorschlagen, diese eine Seite definitiv als "unverschlüsselte http
seite" aufrufbar zu machen.
Liebe Grüsse
Rüdiger
-----Ursprüngliche Nachricht-----
Gesendet: Sonntag, 19. April 2015 11:03
Betreff: Re: CAcert Stammzertifikat downloaden
Post by Rüdiger Schultz
[…]
http://www.cacert.org/index.php?id=3 wird standardmässig auf HTTPS
umgeleitet!
Sobald du cacert.org einmal über HTTPS aufgerufen hast, wird dein Browser
dich wegen HSTS (HTTP Strict Transport Security: die Webseite teilt dem
Browser mit, sie soll immer über HTTPS aufgerufen werden) auf allen
CAcert-Webseiten immer über HTTPS verbinden. Um dann noch per HTTP auf die
Seite zuzugreifen, musst du einen Browser / ein Browserprofil verwenden,
der/das diese HSTS-Info noch nicht mitbekommen hat.
Mit anderen Worten: Die Seite ist sehr wohl über HTTP verfügbar, aber nur
für diejenigen, die das auch brauchen. Wer das Zertifikat schon installiert
hat, kriegt automatisch eine sichere HTTPS-Verbindung.
Viele Grüße, Lucas
--
Mit freundlichen Grüßen


Matthias Link
Zehntwiesenstr. 7
76275 Ettlingen
Lesen Sie weiter auf narkive:
Loading...