1. Wer sind wir
  2. Dienste
  3. Hilfe
  4. Howto
  5. Links
  6. Spenden
  7. ||
  8. it
  9. en
  10. es
  11. de
  12. fr
  13. pt
  14. cat
My Account Login

Wie du die Gültigkeit des Zertifikats unserer Zertifizierungsstelle beglaubigst

Bevor du unser Zertifikat importierst, nachdem du es heruntergeladen hast, solltest du sicher stellen, dass es gültig ist. Dies stellt sicher, dass du nicht einem Zertifikat vertraust, das dir von einem Man-In-The-Middle zwischen dir und unserem Server (z.B. eine Regierungsbehörde, die in deiner Kommunikation herumschnüffeln will.) angeboten wird.

Glücklicherweise haben wir nun ein verschlüsseltes Geräuschverfahren, um die Gültigkeit des heruntergeladenen Zertifikates zu beglaubigen. Es benutzt das DNSSEC-Protokoll und die DANE- Erweiterung. Du wirst den SHA256-Fingerabdruck unseres Zertifikates über DNSSEC erhalten, der jegliche Anfrage beglaubigt und sicher stellt, dass die Antwort nicht verfälscht ist.

Dafür musst du ein paar Befehle in ein Terminal eingeben und unter Windows einige Freie Software installieren. Eine kleine Unannehmlichkeit: du musst eine Anfrage an Google DNS senden, da es der einzige offene DNS-Auflöser ist, der DNSSEC unterstützt, von dem wir wissen. Falls du dich nicht wohl dabei fühlst, auch nur eine einzige Anfrage an den Google-DNS-Server zu stellen, kannst du deinen eigenen DNSSEC-Auflöser auf deinem Computer installieren. Bitte besuche die DNSSEC-Seite für die Anleitung.

Wie du das Zertifikat unter Gnu/Linux und Mac OS X beglaubigst

Um die Beglaubigung unter Gnu/Linux zu bewerkstelligen, brauchst du openssl und dig utilities. Du findest sie in den Packages openssl und dnsutils. Unter OS X sind sie schon vorinstalliert.

Nachdem du unser CA-Zertifikat heruntergeladen hast, öffne einen Terminal. Du erhältst den Fingerabdruck des Zertifikates, indem du folgendes eingibst:

 openssl x509 -in ~/Downloads/ca.crt -fingerprint -sha256 -noout | \
         cut -d= -f2 | tr -d :

Hierbei solltest du ~/Downloads/ca.crt durch den Pfad des eben heruntergeladenen CA-Zertifikates ersetzen. Jetzt führe eine DNSSEC-Anfrage aus, um den SHA256-Fingerabdruck des Zertifikates von einer unabhängigen, beglaubigten Quelle zu erhalten. Falls du eine neuere Programmversion von dig hast, mindestens 9.8.3, musst du folgenden Befehl ausführen:

 dig +short +dnssec tlsa _443._tcp.autistici.org @8.8.8.8 | awk '/^0/ {print $4 $5}'

Für ältere Versionen von dig, benutzt du stattdessen diesen Befehl:

 dig +short +dnssec type52 _443._tcp.autistici.org @8.8.8.8 | \
         awk '$2==35 {print $3, $4}' | cut -c7- | tr -d ' '

Falls die Ausgabe der beiden Befehle (openssl und dig) übereinstimmen, ist das heruntergeladene Zertifikat beglaubigt und du kannst es nun installieren.

Wie du das Zertifikat unter Windows beglaubigst

Zuallererst, musst du Win32Openssl installieren. Das ist ein Programmpaket von Freier Software, um Zertifikate zu verwalten. Dann brauchst du noch das Programm dig , ebenfalls Freie Software, das es dir erlaubt, DNS-Anfragen auszuführen.

Nachdem du die Programme installiert hast, öffnest du eine Befehlszeile und gibst das Folgende aus dem bin-Verzeichnis deiner openssl-Installation, ein:

  openssl.exe x509 -in C:\ca.crt -fingerprint -sha256 -noout

Hier solltest du C:\ca.crt durch den Pfad des heruntergeladenen Zertifikates ersetzen. Speichere die Ausgabe des Befehls. Nun führe die DNSSEC-Anfrage aus, indem du den dig-Befehl (und wieder: gib dies in einen Terminal an dem Ort ein, an dem du dig installiert hast.) benutzt:

  dig.exe +short +dnssec tlsa _443._tcp.autistici.org @8.8.8.8

Die Ausgabe des Befehls wird wie das hier aussehen:

2 0 1 0620D0EA76805CACE2D7B8A8C1DEEBA67332D252A4F3F71165FD83B6 9DADDBD5
TLSA 7 4 9600 20130805044630 20130706044630 24242 autistici.org. ...

Nimm die vierte und fünfte Spalte der ersten Zeile der Ausgabe und füge sie zusammen (im Beispiel, 0620D0EA76805CACE2D7B8A8C1DEEBA67332D252A4F3F71165FD83B69DADDBD5). Diese Abfolge sollte der Ausgabe des vorangegangenen Befehls gleichen, wenn du die Doppelpunkte entfernt hast. Falls dies der Fall ist, hast du ein beglaubigtes Zertifikat heruntergeladen und du kannst fortfahren, es zu installieren.