## 20180429 AK ---- [[FAQ/Mess/CZ|česky]] | '''deutsch''' | [[FAQ/Mess|english]] ---- == Warum Browser die Website von CAcert.org als nicht korrekt konfiguriert melden == Angenommen, Sie sind noch kein Mitglied der CAcert-Gemeinschaft, aber Sie möchten sich anmelden und ein Konto bei CAcert eröffnen. Sie besuchen also die Website www.cacert.org, die sich als http://www.cacert.org öffnet, also mit einer ''ungeschützten, unverschlüsselten Verbindung''. Danach wollen Sie Ihr Konto erstellen. Also gehen Sie zum Menüpunkt "Beitreten". Ihre Verbindung wechselt in diesem Moment zu ''gesichert/sicheres HTTP'' (verschlüsselte Verbindung). Der Browser warnt Sie lautstark: * Internet Explorer 11: {{attachment:FAQ/Mess/No-Root-IE11-EN.gif|IE11 warning|width=600}} * Edge (Windows 10 ver. 1803): {{attachment:FAQ/Mess/No-Root-Edge-EN.gif|Edge warning|width=500}} * Google Chrome (ver. 65.0.3325.181): . [Your connection is not private] {{attachment:FAQ/Mess/No-Root-Chrome-EN.gif|Google Chrome warning|width=500}} * Firefox (ver. 59.0.2): {{attachment:FAQ/Mess/No-Root-Firefox-EN.gif|Firefox warning|width=700}} * Opera (ver. 52.0.2871.40): . [Your connection is not private; ... login data sent by the website are damaged] {{attachment:FAQ/Mess/No-Root-Opera-EN.gif|Opera warning|width=500}} * Safari (ver. 5.1.7 für Windows): {{attachment:FAQ/Mess/No-Root-SafariWin-EN.gif|Safari for Windows warning|width=400}} === Was ist der Grund für diese Warnung? === Zunächst muss man sagen: Diese Warnung ist zumindest für Firefox, Opera und Safari ''irreführend''. Die Website www.cacert.org '''ist'''' sicher; sie ist '''nicht'''' falsch konfiguriert; die Login-Daten sind '''nicht''' beschädigt; und das Zertifikat des Webs ist '''nicht''' ungültig. Sie können sich der Wahrheit nähern (bei Firefox), nachdem Sie "Erweitert" gedrückt haben, und Sie können lesen: "...ungültiges Sicherheitszertifikat". Alles klar; und warum? Denn "...der Zertifikatsaussteller ist unbekannt"! '''weil der CAcert-Zertifizierungsstelle nicht vertraut wird, die der Website www.cacert.org ihr Zertifikat ausgestellt hat. Ein Grund dafür ist, dass der Browser das Stammzertifikat der CA nicht kennt oder ihm nicht traut.''' Sie haben noch keine CAcert Stammzertifikat installiert. Mit anderen Worten, '''Sie haben sich noch nicht entschieden, der CAcert Zertifizierungsstelle zu vertrauen.''' Sie müssen auf der Website www.cacert.org unter dem Menüpunkt "Stammzertifikate" die öffentlichen Stammzertifikat von CAcert, d.h. "PKI Class 1 Key" (das Haupt-Stammzertifikat und "PKI Class 3 Key" (das Zwischen-Stammzertifikat) installieren. Wenn Ihr Browser (wie Firefox) Sie explizit um Vertrauen in das Stammzertifikat bittet, setzen Sie es. [Hinweis: Das Zertifikat wurde in meinem Beispiel installiert, nur das Vertrauen wurde aufgehoben. Unklare Fehlermeldungen werden oft absichtlich mit Sicherheitswarnungen gemeldet; Sätze wie "falsche Konfiguration" oder "beschädigte Login-Daten" sind jedoch ziemlich starker Kaffee.] === Bei anderen Websites müssen keine Stammzertifikate installiert werden, aber eine solche Warnung wird nicht gezeigt! === Der Grund dafür ist, dass die Stammzertifikate einiger CAs in Ihrem verwendeten Browser oder Betriebssystem vorinstalliert sind. Die Anbieter von OS/Browser haben in der Tat ''für Sie'' entschieden, dass '''Sie blind ALLEN Webseiten vertrauen''' welche Zertifikaten verwenden, die von diesen "privilegierten" Zertifizierungsstellen ausgestellt wurden; und ''CAcert ist nicht eine von denen''. Mehr zu diesem Thema lesen Sie im Artikel [[HELP/2|Wofür ist das?]] Wenn Sie wissen wollen, welche CAs die "Privilegierten" sind, schauen Sie in das Repository der "Trusted Certificate Authorities". Jeder Browser sollte diese Möglichkeit bieten; die Pfade in den meistgenutzten Browsern folgen: * Internet Explorer 11: . Einstellungen > Internetoptionen > Inhalt > Zertifikate > Vertrauenswürdige Stammzertifizierungsstellen * Edge: kein eigener Zertifikatsmanager, Verwendung des IE11 * Google Chrome: . Einstellungen > Erweitert > Zertifikatsverwaltung > Vertrauenswürdige Stammzertifikatsbehörden * Firefox: . Einstellungen > Optionen > Datenschutz & Sicherheit > Zertifikate anzeigen > Autoriäten * Opera . Menü > Einstellungen > Datenschutz und Sicherheit > HTTPS/SSL > Certificate Manager > Vertrauenswürdige Stammzertifikat-Autoritäten * Safari für Windows: keine eigene Zertifikatsverwaltung Man sieht dort (mit Überraschung) CA, ''denen man blind vertraut, ohne es zu wissen''. === Ich habe die Wurzelzertifikate von CAcert installiert und der Browser beschwert sich immer noch, warum ? === Sie können verschiedene Fehlermeldungen sehen, wie: * (Firefox): Ihre Verbindung ist nicht sicher; Details: SEC_ERROR_CERT_SIGNATURE_ALGORITHMUS_DEAKTIVIERT * (Google Chrome): Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig! Der Grund dafür ist, dass das Haupt-Stamm-CAcert-Zertifikat (veröffentlicht auf der CAcert-Website) mit dem MD-5-Algorithmus selbstsigniert ist, der nicht mehr als sicher gilt. Wenn Sie jedoch der CAcert CA vertrauen, vertrauen Sie ihrem öffentlichen Schlüssel, der im Haupt-Stamm-Zertifikat enthalten ist. Es ist überhaupt nicht entscheidend, mit welchem Algorithmus er signiert ist. Leider nehmen Browser es flach und verlangen, dass '''alle''' Zertifikate, einschließlich des Haupt-Stamm-Zertifikats, mit dem robusteren Algorithmus, z.B. SHA256, signiert wurden! Ersetzen Sie also das Root Class 1-Zertifikat durch das SHA256-signierte, das Sie von der Wiki-Seite [[FAQ]] herunterladen können. Suchen Sie nach "SHA256"! [[HowTo/ReplaceCAcertRootCertificate|Hier ist die Vorgehensweise.]] Beachten Sie auch, dass der '''Firefox-Browser sein eigenes Repository''' hat. Sie können Firefox jedoch so einstellen, dass er auch '''CA-Root-Zertifikate aus dem System-Repository von Windows''' liest.<
> Sie finden diese Einstellung auf der Firefox-Seite '''about:config''' als '''security.enterprise_roots.enabled'''. Sie müssen es auf '''true''' setzen. ---- . [[CategoryFAQ]]