Gaia-Zertifikate
Holger (Diskussion | Beiträge) K (→Installation von Let´s Encrypt: Typo korrigiert) |
|||
| (13 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
== Das Wichtigste über Zertifkate == |
== Das Wichtigste über Zertifkate == |
||
| − | Digitale Zertifikate sind ein "elektronischer Ausweis", ein Siegel, mit dem die Identität eines Dienstanbieters (z.B. eines Servers) bestätigt wird. Sind sind eine Art Personalausweis für eine Website. Zertifikate werden benötigt, um verschlüsselte Online-Verbindungen aufzubauen. Dieser erkennt man z.B. an "https://..." in einer Web-Adresse oder am Zusatz "mit SSL" bei einer E-Mail oder News-Verbindung per Mail/News-Programm. |
+ | Digitale Zertifikate sind ein "elektronischer Ausweis", ein Siegel, mit dem die Identität eines Dienstanbieters (z.B. eines Servers) bestätigt wird. Sie sind eine Art Personalausweis für eine Website. Zertifikate werden benötigt, um verschlüsselte Online-Verbindungen aufzubauen. Diese erkennt man an "https://..." in einer Web-Adresse oder am Zusatz "mit SSL" bei einer E-Mail oder News-Verbindung per Mail/News-Programm. |
Damit bieten wir eine möglichst sichere Privatsphäre für Personen und Organisationen im Internet, die alle GAIA Dienste wie E-Mail, News und Intraweb umfasst. "Sichere Privatsphäre" ist dabei nicht als "Geheimniskrämerei" zu verstehen, sondern als demokratisches Grundrecht (Grundgesetz, Artikel 10: "Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich."). Auch in elektronischen Medien ist Privatsphäre die Voraussetzung für jede vertrauensvolle und ungestörte zwischenmenschliche Kommunikation! |
Damit bieten wir eine möglichst sichere Privatsphäre für Personen und Organisationen im Internet, die alle GAIA Dienste wie E-Mail, News und Intraweb umfasst. "Sichere Privatsphäre" ist dabei nicht als "Geheimniskrämerei" zu verstehen, sondern als demokratisches Grundrecht (Grundgesetz, Artikel 10: "Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich."). Auch in elektronischen Medien ist Privatsphäre die Voraussetzung für jede vertrauensvolle und ungestörte zwischenmenschliche Kommunikation! |
||
| − | Zertifikate werden von einer anderen Person oder einer anerkannten "Zeritifizierungsstelle" elektronisch unterzeichnet (signiert), um die Identität des Zertifikatsinhabers sicherzustellen. Kommerzielle Firmen, die Zertifizerungen ausstellen, sind z.B. Thawte oder Verisign. Zertifikate haben immer eine zeitlich begrenzte Gültigkeit. Firefox und andere Browser haben eine Reihe von sogenannten Stammzertifikaten von Verisign und anderen Firmen oder Institutionen bereits vorinstalliert. D.h. alle Zertifikate, die mit dem Stammzertifikat signiert sind, werden vom Browser als vertauenswürdig akzeptiert. |
+ | Zertifikate werden von einer anderen Person oder einer anerkannten "Zertifizierungsstelle" elektronisch unterzeichnet (signiert), um die Identität des Zertifikatsinhabers sicherzustellen. Kommerzielle Firmen, die Zertifizerungen ausstellen, sind z.B. Thawte oder Verisign. Zertifikate haben immer eine zeitlich begrenzte Gültigkeit. Firefox und andere Browser haben eine Reihe von sogenannten Stammzertifikaten von Verisign und anderen Firmen oder Institutionen bereits vorinstalliert. D.h. alle Zertifikate, die mit dem Stammzertifikat signiert sind, werden vom Browser als vertrauenswürdig akzeptiert. |
== Woran erkenne ich ein vertrauenswürdiges Zertifikat? == |
== Woran erkenne ich ein vertrauenswürdiges Zertifikat? == |
||
| − | In Firefox wird das Feld in links neben der Adressleiste blau oder grün dargestellt oder mit einem Schloß gekennzeichnet. Ausserdem beginnt die Adresse mit "https://". Bei Zertifikaten der Klasse 1 (blau) wird die Existenz geprüft. Weit verbreitet sind die Zertifikate der Klasse 3 (grün). Bei diesen wird z.B. der Handelsregistereintrag geprüft. Bankenanwendungen (Onlinebanking) verwenden in der Regel immer Klasse 3 Zertifikate. |
+ | In Firefox wird das Feld links neben der Adressleiste in blau oder grün dargestellt oder mit einem Schloss gekennzeichnet. Außerdem beginnt die Adresse mit "https://". Bei Zertifikaten der Klasse 1 (blau) wird die Existenz geprüft. Weit verbreitet sind die Zertifikate der Klasse 3 (grün). Bei diesen wird z.B. der Handelsregistereintrag geprüft. Bankenanwendungen (Onlinebanking) verwenden in der Regel immer Klasse 3 Zertifikate. |
| + | ==Das vom Gaia e.V. eingesetzte Zertifikat== |
||
| + | Kommerziell signierte Zertifikate sind extrem teuer. Daher verwendet der Gaia e.V. seit dem 18.04.2020 ein Zertifikat von [https://letsencrypt.org/de/ Let´s Encrypt]. |
||
| − | ==Das Zertifikat des Gaia e.V.== |
+ | Let's Encrypt ist eine Zertifizierungsstelle der gemeinnützigen [https://www.abetterinternet.org/ Internet Security Research Group (ISRG)], die kostenlose Zertifikate ausstellt. Solche Zertifikate sind die Grundlage zur verschlüsselten Kommunikation im Internet über das Protokoll HTTPS. Let's Encrypt hat es sich zur Aufgabe gemacht, Betreibern von Webseiten das Zertifikatsmanagement zu vereinfachen. Dazu setzt die CA auf einen hohen Grad an Automatisierung, um allen Inhabern einer Domäne kostenlos und unkompliziert Zertifikate auszustellen. Die Research Group von Let's Encrypt besteht u.a. aus Mitgliedern von Mozilla Foundation, Google Chrome und Cisco Systems. Weitere Beteiligte sind die Zertifizierungsstelle IdenTrust, die University of Michigan, die Stanford Law School, die Linux Foundation und CoreOS. Darüber hinaus gibt es mehr als 100 Sponsoren, die das Projekt unterstützen. Ende Februar 2020 stellte Let's Encrypt das einmilliardste Zertifikat aus. |
| − | Kommerziell signierte Zertifikate sind extrem teuer. Daher verwendet der GAIA e.V. seit dem 01.07.2013 Zertifikate von CAcert. CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei Zertifikate für verschiedene Einsatzgebiete ausstellt. Mit CAcert gibt es eine kostenfreie Alternative zu den kommerziellen Zertifikaten. Die selbst signierten Zertifikate des Gaia e.V. sind seit dem 30.06.2013 nicht mehr gültig. |
||
| − | Beim Signieren mit dem CAcert-Zertifikat kommt es zu einem (kleinen) Problem: Gängige Software wie Browser und Mailreader kennen nur die grossen, kommerziellen und international tätigen Zertifizierungsstellen. Ein Aussteller/Herausgeber "CACert" ist den Programmen zunächst nicht bekannt. Es kommt daher zu einer Warnmeldung, daß ein Zertifikat vorgelegt wird, das nicht von einer anerkannten Stelle signiert wurde. Diese Warnung beim ersten Aufruf verschwindet, sobald Sie das CAcert-Zertifikat als "vertrauenswürdig" akzeptieren und dauerhaft abspeichern. Sie sind danach genau so gültig oder echt wie diejenigen Zertifikate, die von einer "anerkannten Zertifizierungsstelle" signiert sind. |
+ | Von 2013 bis 2020 setzten wir Zertifikate von CAcert ein. CAcert ist ebenfalls eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei Zertifikate für verschiedene Einsatzgebiete ausstellt. Die selbst signierten Zertifikate des Gaia e.V. sind seit dem 30.06.2013 nicht mehr gültig. |
| − | Manuell können Sie sich alle CAcert-Zertifkate auf der Website von CAcert https://www.cacert.org/index.php?id=3 herunterladen. Dort können Sie, sofern Sie einen der unter "Windows Installer" angeführten Browser nutzen, das "Windows Installationspaket" herunterladen und ausführen. Falls Sie einen anderen Browser nutzen, z.B. Mozilla Firefox, müssen Sie das richtige Zertifikat manuell installieren: "Zwischenzertifikat (PEM Format)" |
+ | ==Installation von Let´s Encrypt== |
| + | In der Regel sollte das neue Zertifikat keine Probleme bereiten, da es Browsern bereits bekannt ist. In einzelnen Fällen (z.B. bei Smartphones) kann es zu dieser oder einer ähnlichen Fehlermeldung kommen: |
||
| + | Dem SSL-Zertifikat für "post.gaia.de" wird nicht vertraut. Wollen Sie es akzeptieren? |
||
| + | Grund: Die signierende Zertifizierungsstelle ist unbekannt. |
||
| − | == Installation des Gaia-Zertifikats bei Firefox == |
+ | Zertifikatsproblem |
| + | Überprüfen Sie die Servereinstellungen |
||
| − | Wenn beim Aufruf von [https://intraweb.gaia.de/webmail Webmail] eine Sicherheitswarnung aufploppt, klicken Sie zunächst auf '''Ich kenne das Risiko''', ... |
+ | Meist wird ein "ungültiges" Zertifikat moniert oder das Zertifikat ist unbekannt. Diese Meldung ist allerdings ungenau, da das Zertifikat lediglich nicht bekannt ist. Mit Zertifikat akzeptieren wird das Zertifikat von Let´s Encrypt angenommen. |
| − | |||
| − | [[image:ff01.png]] |
||
| − | |||
| − | |||
| − | dann ganz unten auf '''Ausnahmen hinzufügen ...''' |
||
| − | |||
| − | [[image:Ff02.png]] |
||
| − | |||
| − | |||
| − | Bitte achten Sie darauf, dass das Kästchen vor '''Diese Ausnahme dauerhaft speichern''' aktiviert ist. |
||
| − | |||
| − | Klicken Sie auf '''Sicherheits-Ausnahmeregel bestätigen'''. |
||
| − | |||
| − | [[image:Ff03.png]] |
||
| − | |||
| − | |||
| − | Beim nächsten Aufruf dieser Adresse wird der Server ohne Sicherheitswarnung akzeptiert. |
||
| − | |||
| − | |||
| − | == Installation des Gaia-Zertifikats bei Thunderbird == |
||
| − | |||
| − | Beim ersten Aufruf kommt es beim Abruf von Mail und News zu Fehlermeldungen aufgrund des fehlenden Zertifikats. |
||
| − | |||
| − | |||
| − | ===Mail=== |
||
| − | Klicken Sie auf das Kästchen vor '''Diese Ausnahme dauerhaft speichern'''. |
||
| − | |||
| − | Klicken Sie auf '''Sicherheits-Ausnahmeregel bestätigen'''. |
||
| − | |||
| − | [[image:tb28.png]] |
||
| − | |||
| − | |||
| − | ===News=== |
||
| − | Beim Abrufen der Newsgroups erscheint folgende Zertifikatwarnung. Ein automatischer Import, wie bei Mail, ist leider nicht möglich. Zum Lesen von Newsgruppen ist es erforderlich, das Gaia-Zertifikat manuell in Thunderbird zu importieren. |
||
| − | |||
| − | |||
| − | Im ersten Schritt speichern Sie das Zertifikat auf Ihrem Rechner. Das CAcert-Zertifkat können Sie sich auf der Website von CAcert https://www.cacert.org/index.php?id=3 herunterladen. Dort können Sie, sofern Sie einen der unter "Windows Installer" angeführten Browser nutzen, das "Windows Installationspaket" herunterladen und ausführen. Falls Sie einen anderen Browser nutzen, z.B. Mozilla Firefox, müssen Sie das richtige Zertifikat manuell installieren: "Zwischenzertifikat (PEM Format)" |
||
| − | |||
| − | |||
| − | Im zweiten Schritt gehen Sie auf Extras / Einstellungen / Erweitert / Register Zertifikate und Klicken auf den Button '''Zertifikate'''. |
||
| − | |||
| − | [[image:tb32.png]] |
||
| − | |||
| − | |||
| − | |||
| − | Öffnen Sie die Registerkarte '''Zertifizierungsstellen'''. |
||
| − | |||
| − | Klicken Sie auf '''Importieren''', wählen das oben gespeicherte Zertifikat und importieren Sie es. |
||
| − | |||
| − | [[image:tb40.png]] |
||
| − | |||
| − | |||
| − | |||
| − | Als letzten Schritt müssen Sie dem importierten Zertifikat das Vertrauen aussprechen. Aktivieren Sie das oberste Kästchen '''Dieser CA vertrauen, um Websites zu identifizieren'''. |
||
| − | |||
| − | |||
| − | [[image:tb41.png]] |
||
| − | |||
| − | |||
| − | |||
| − | Schließen Sie alle Dialoge mit '''OK''' bzw. '''Schließen'''. |
||
| − | |||
| − | |||
| − | == Installation des Gaia-Zertifikats bei Safari== |
||
| − | # Klicken Sie, wenn die Sicherheitswarnung kommt, unten auf "'''Zertifikat einblenden'''" und setzen Sie den Haken bei "'''Beim Verbinden mit "intraweb.gaia.de" immer "intraweb.gaia.de" vertrauen'''" und klicken anschliessend auf "'''Fortfahren"''' |
||
| − | # Unter Umständen werden Sie jetzt aufgefordert die Änderungen am Schlüsselbund mit dem Systempasswort zu erlauben. |
||
| − | |||
| − | Danach müsste das Zertifikat - wenn Sie den Browser schließen und erneut öffnen und denselben Server aufsuchen - ohne Sicherheitswarnung akzeptiert werden. |
||
Aktuelle Version vom 17. Dezember 2023, 22:18 Uhr
Inhaltsverzeichnis |
[Bearbeiten] Das Wichtigste über Zertifkate
Digitale Zertifikate sind ein "elektronischer Ausweis", ein Siegel, mit dem die Identität eines Dienstanbieters (z.B. eines Servers) bestätigt wird. Sie sind eine Art Personalausweis für eine Website. Zertifikate werden benötigt, um verschlüsselte Online-Verbindungen aufzubauen. Diese erkennt man an "https://..." in einer Web-Adresse oder am Zusatz "mit SSL" bei einer E-Mail oder News-Verbindung per Mail/News-Programm.
Damit bieten wir eine möglichst sichere Privatsphäre für Personen und Organisationen im Internet, die alle GAIA Dienste wie E-Mail, News und Intraweb umfasst. "Sichere Privatsphäre" ist dabei nicht als "Geheimniskrämerei" zu verstehen, sondern als demokratisches Grundrecht (Grundgesetz, Artikel 10: "Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich."). Auch in elektronischen Medien ist Privatsphäre die Voraussetzung für jede vertrauensvolle und ungestörte zwischenmenschliche Kommunikation!
Zertifikate werden von einer anderen Person oder einer anerkannten "Zertifizierungsstelle" elektronisch unterzeichnet (signiert), um die Identität des Zertifikatsinhabers sicherzustellen. Kommerzielle Firmen, die Zertifizerungen ausstellen, sind z.B. Thawte oder Verisign. Zertifikate haben immer eine zeitlich begrenzte Gültigkeit. Firefox und andere Browser haben eine Reihe von sogenannten Stammzertifikaten von Verisign und anderen Firmen oder Institutionen bereits vorinstalliert. D.h. alle Zertifikate, die mit dem Stammzertifikat signiert sind, werden vom Browser als vertrauenswürdig akzeptiert.
[Bearbeiten] Woran erkenne ich ein vertrauenswürdiges Zertifikat?
In Firefox wird das Feld links neben der Adressleiste in blau oder grün dargestellt oder mit einem Schloss gekennzeichnet. Außerdem beginnt die Adresse mit "https://". Bei Zertifikaten der Klasse 1 (blau) wird die Existenz geprüft. Weit verbreitet sind die Zertifikate der Klasse 3 (grün). Bei diesen wird z.B. der Handelsregistereintrag geprüft. Bankenanwendungen (Onlinebanking) verwenden in der Regel immer Klasse 3 Zertifikate.
[Bearbeiten] Das vom Gaia e.V. eingesetzte Zertifikat
Kommerziell signierte Zertifikate sind extrem teuer. Daher verwendet der Gaia e.V. seit dem 18.04.2020 ein Zertifikat von Let´s Encrypt.
Let's Encrypt ist eine Zertifizierungsstelle der gemeinnützigen Internet Security Research Group (ISRG), die kostenlose Zertifikate ausstellt. Solche Zertifikate sind die Grundlage zur verschlüsselten Kommunikation im Internet über das Protokoll HTTPS. Let's Encrypt hat es sich zur Aufgabe gemacht, Betreibern von Webseiten das Zertifikatsmanagement zu vereinfachen. Dazu setzt die CA auf einen hohen Grad an Automatisierung, um allen Inhabern einer Domäne kostenlos und unkompliziert Zertifikate auszustellen. Die Research Group von Let's Encrypt besteht u.a. aus Mitgliedern von Mozilla Foundation, Google Chrome und Cisco Systems. Weitere Beteiligte sind die Zertifizierungsstelle IdenTrust, die University of Michigan, die Stanford Law School, die Linux Foundation und CoreOS. Darüber hinaus gibt es mehr als 100 Sponsoren, die das Projekt unterstützen. Ende Februar 2020 stellte Let's Encrypt das einmilliardste Zertifikat aus.
Von 2013 bis 2020 setzten wir Zertifikate von CAcert ein. CAcert ist ebenfalls eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei Zertifikate für verschiedene Einsatzgebiete ausstellt. Die selbst signierten Zertifikate des Gaia e.V. sind seit dem 30.06.2013 nicht mehr gültig.
[Bearbeiten] Installation von Let´s Encrypt
In der Regel sollte das neue Zertifikat keine Probleme bereiten, da es Browsern bereits bekannt ist. In einzelnen Fällen (z.B. bei Smartphones) kann es zu dieser oder einer ähnlichen Fehlermeldung kommen:
Dem SSL-Zertifikat für "post.gaia.de" wird nicht vertraut. Wollen Sie es akzeptieren? Grund: Die signierende Zertifizierungsstelle ist unbekannt.
Zertifikatsproblem Überprüfen Sie die Servereinstellungen
Meist wird ein "ungültiges" Zertifikat moniert oder das Zertifikat ist unbekannt. Diese Meldung ist allerdings ungenau, da das Zertifikat lediglich nicht bekannt ist. Mit Zertifikat akzeptieren wird das Zertifikat von Let´s Encrypt angenommen.
