Na ja: Java hat gerade so einige Schwierigkeiten mit der Sicherheit. Aber ich weiß nicht, welches Programm die Meldung generiert. Ists tatsächlich der Autoupdater von java? <Ich dachte immer der Browser! Steht nix drin in der Meldung. Ich habe zu zertifikaten das hier gefunden im WWW (ist eigentlich gut erklärt):
Erklärung:
Eine sichere Verbindung im Internet wird mit Hilfe des sog. SSL-Protokolls aufgebaut. Das hat im Grunde zwei Funktionen.
Zunächst mal die Verschlüsselung, damit niemand die Verbindung abhören kann.
Jetzt nutzt es Dir aber nix, wenn Du Deine Login-Daten sowie PIN und TAN sicher verschlüsselt an Joe Average Gangster übermittelst. Heißt im Klartext: Du möchtest ja auch gerne wissen, das der Server, an den Du Deine Daten übermittelst, auch tatsächlich Deiner Bank gehört.
Aber wie das nachprüfen?
Das wird im Internet folgendermaßen geregelt: Ein Vertrauenswürdiger Dritter (Thawte, Verisign und andere) überprüft, ob der Antragssteller für ein Zertifikat auch tatsächlich der ist, der er zu sein behauptet, in unserem Beispiel also die Bank. Dieser Vertrauenswürdige Dritte wird auch Zertifizierungsstelle gennant. Nachdem sie also die Identität des Antragstellers überprüft hat, erstellt sie ein Server-Zertifikat für die Bank und unterschreibt das Zertifikat elektronisch.
Wenn Dein Browser nun eine SSL-Verbindung aufbaut, bekommt er das Zertifikat geschickt. Er überprüft nun, ob die Unterschrift mit der öffentlich bekannten Unterschrift des Vertrauenswürdigen Dritten übereinstimmt.
Nun kommt der Knackpunkt:
Die Zertifikate sind natürlich recht wertvoll, da sich jeder mit Hilfe dieses Zertifikates als Deine Bank ausgeben könnte. Deshalb sind sie passwortgeschützt. Nun kann es aber aus tausend verschiedenen Gründen dazu kommen, das ein Zertifikat kompromittiert wird: Ein Bankmitarbeiter verrät das Passwort, das Passwort wird vergessen und man kann das Zertifikat nicht mehr verwenden (und braucht dementsprechend ein Neues) oder, oder, oder. Dementsprechend gibt der Vertrauenswürdige Dritte Listen heraus, in denen steht, welche Zertifikate ungültig sind - eine Rückrufliste, engl. revocation list. Auch das wird vom Browser automatisch geprüft.
Ist ein Zertifikat, mit dem sich Dein "Bank"-Server ausweisen will, zurückgerufen, wird der Browser nun meckern.
Wenn bisher nix passiert ist, wird nun endlich die verschlüsselte Verbindung aufgebaut und Du kannst Dir sicher sein, auch mit dem zu reden, mit dem Du reden willst.
<exkurs> Ein sog. self-signed certificate unterschreibt kein Vertrauenswürdiger Dritter, sondern der Besitzer des Servers selbst. Damit kann dann zwar die Identität nicht geprüft werden, allerdings kann man die verbindung verschlüsseln. Dir ist sicher schon mal untergekommen, das Dein Browser in der Art "Die Identität von foobar.com kann nicht bestätigt werden" gemeckert hat. Das passiert (u.a.) im Fall von self-signed certificates.</exkurs>
Manfredtiel
InvisibleBot
