SSL-Zertifikat signiert von einer vertrauten Zwischen-CA wird nicht erkannt

03/06/2008 - 20:49 von Michael Tänzer | Report spam
Hallo,
ich habe ein Server-Zertifikat von http://www.cacert.org welches nicht
von der Root CA sondern von einer Zwischen-CA (Class3 CA) von CAcert
signiert wurde und diese Class3 CA wiederum wurde von der Root CA signiert.
CAcert signiert die Zertifikate von allen Personen mit dem Schlüssel der
Root CA und nur Personen die ein paar extra Tests durchlaufen haben
bekommen ein von der Class3 CA signiertes Zertifikat.
Die Idee die dahinter steht ist folgende: Wenn man allen Leuten die von
CAcert signiert wurden traut, dann importiert man die Root CA in den
Browser (Zertifikaten, die von der Class3 CA signiert wurden wird
automatisch vertraut, da sie ja von der Root CA signiert wurde) und wenn
man nur den Leuten vertrauen will, welche gründlicher überprüft wurden,
dann importiert man nur die Class3 CA.

Wenn ich nun die Class3 CA in den IE importiere, dann sagt er mir, dass
meine Seite nicht richtig verifiziert werden kann, wenn ich dazu noch
die Root CA importiere funktioniert es.

Beim Class3-Zertifikat ist das CA-Flag auf true gesetzt und es
funktioniert in Firefox3, FF2 und Epiphany (ich vermute mal allen
Gecko-basierten Browsern). Opera9 und Konqueror 3.5.9 haben jedoch das
selbe Problem (Safari greift unter Windows auf die selbe Infrastruktur
wie der IE zurück und liefert somit das selbe Ergebnis, ich habe leider
keinen Mac um es dort auch mal zu probieren).
Der Server (Apache 2.2) hat in der Konfiguration die komplette
Zertifikats-Kette bis zur Root CA hinterlegt (braucht er ja auch, für
die Besucher, die die Root CA importiert haben).

Wie man den Fehler reproduzieren kann:
1. Gehen Sie auf http://www.cacert.org -> Root Certificate
2. Klicken Sie im Abschnitt "Class 3 PKI Key" auf "Intermediate
Certificate (PEM Format)" und importieren Sie es in ihren Browser
3. Gehen Sie auf https://nhng.dyndns.org welche eigentlich die
Apache-Standardseite "It works!" anzeigen sollte, stattdessen erhàlt man
eine Fehlermeldung
Wenn das "Root Certificate (PEM Format)" von CAcert importiert wird,
funktioniert alles.

Erwartetes Verhalten:
Das Zertifikat sollte auch gültig sein wenn nur das Class3-Zertifikat
importiert wurde.
Wenn ein Zertifikat auf dem Pfad vom gewünschten Server zur Wurzel des
Zertifikat-Baumes als vertauenswürdig eingestuft wurde und die
Signaturen auf dem Pfad von dem vertrauenswürdigen Knoten zum
Server-Zertifikat gültig sind, dann sollte das Server-Zertifikat als
gültig eingestuft werden.

Ich benutze IE7 auf WinXP SP3

Viele Grüße
Michael
 

Lesen sie die antworten

#1 Kai Schaetzl
03/06/2008 - 23:31 | Warnen spam
schrieb am Tue, 03 Jun 2008 20:49:06 +0200:

Das Zertifikat sollte auch gültig sein wenn nur das Class3-Zertifikat
importiert wurde.



Wieso? Es fehlt doch das Root-Cert in der Kette. Ansonsten habe ich nur
ein Intermediate im "luftleeren Raum" herumhàngen.

Kai
Infos zum IE: http://iefaq.info & http://ie6.winware.org
Infos zu Windows und OE: http://www.mvps.org & http://oe-faq.de
Infos über Updates: http://patch-info.de

Ähnliche fragen