Speicherung von Zertifikaten durch Mozilla

[Chr. Maercker]

Hallo,
ist es richtig, dass Mozilla-Browser nur die Server-Zertifikate
speichern, für die Ausnahmen angefordert wurden? Gemeint sind die
Serverzertifikate, die beim Klicken des "Manage"-Buttons angezeigt werden.
--


CU Chr. Maercker.

[Arno Welzel]

Chr. Maercker:

> ist es richtig, dass Mozilla-Browser nur die Server-Zertifikate
> speichern, für die Ausnahmen angefordert wurden? Gemeint sind die
> Serverzertifikate, die beim Klicken des "Manage"-Buttons angezeigt werden.

Ja. Warum sollten andere Zertifikate gespeichert werden? Die Idee ist
ja, dass ein Server ein Zertifikat liefert, dass der Browser mit den
*vorhandenen* CA-Zertikaten als gültig anerkennen kann.


--
Arno Welzel
https://arnowelzel.de

[Chr. Maercker]

Ich wollte es nur bestätigt wissen, danke. Für gültige Zertifikate wäre
allenfalls ein Caching denkbar, aber für das bischen Daten wenig sinnvoll.
Was sich im Lauf der Zeit in Certstore ansammelt ist so übersichtlich,
dass für mich nicht mehr sicher zu erkennen war, ob das wirklich nur
Zertifikate sind, die ich irknwann durchgewinkt habe. Obendrein werden
sie reichlich chaotisch einsortiert und Suchfunktion ist zumindest bei
Seamonkey Luxus, bei FF WIMRE aber ebenso.

--


CU Chr. Maercker.

[Arno Welzel]

Chr. Maercker:

> Arno Welzel wrote:
>> Chr. Maercker:
>>> ist es richtig, dass Mozilla-Browser nur die Server-Zertifikate
>>> speichern, für die Ausnahmen angefordert wurden? Gemeint sind die
>>> Serverzertifikate, die beim Klicken des "Manage"-Buttons angezeigt werden.
>>
>> Ja. Warum sollten andere Zertifikate gespeichert werden? Die Idee ist
>> ja, dass ein Server ein Zertifikat liefert, dass der Browser mit den
>> *vorhandenen* CA-Zertikaten als gültig anerkennen kann.
>
> Ich wollte es nur bestätigt wissen, danke. Für gültige Zertifikate wäre
> allenfalls ein Caching denkbar, aber für das bischen Daten wenig sinnvoll.

Für Zertifikate ist Caching generell nicht sinnvoll - die Zertifikate
*sollen* ja jedesmal erneut geprüft werden, wenn die Verbindung
aufgebaut wird.

Das passiert auch mit den gespeicherten Zertifikaten - da wird bei
*jeder* Verbindung geprüft, ob das Zertifikat vom Server noch identisch
mit dem ist, was der Browser gespeichert hat.

> Was sich im Lauf der Zeit in Certstore ansammelt ist so übersichtlich,
> dass für mich nicht mehr sicher zu erkennen war, ob das wirklich nur
> Zertifikate sind, die ich irknwann durchgewinkt habe. Obendrein werden
> sie reichlich chaotisch einsortiert und Suchfunktion ist zumindest bei
> Seamonkey Luxus, bei FF WIMRE aber ebenso.

Eigentlich ganz einfach:

Nur was unter "Zertifizierungsstellen" aufgeführt wird, ist von Mozilla
mitgeliefert worden. Alles andere ist ausnahmslos von Dir selbst
installiert oder durch eine von Dir veranlasste Ausnahme vorhanden.

[Chr. Maercker]

Arno Welzel wrote:
> Für Zertifikate ist Caching generell nicht sinnvoll - die Zertifikate
> *sollen* ja jedesmal erneut geprüft werden, wenn die Verbindung
> aufgebaut wird.
>
> Das passiert auch mit den gespeicherten Zertifikaten - da wird bei
> *jeder* Verbindung geprüft, ob das Zertifikat vom Server noch identisch
> mit dem ist, was der Browser gespeichert hat.

Davon kann ich hier bisweilen ein Lied singen. Caching im Sinne von
Gespeichertes muss nicht mehr geprüft werden, verbietet sich.

> Eigentlich ganz einfach:
>
> Nur was unter "Zertifizierungsstellen" aufgeführt wird, ist von Mozilla
> mitgeliefert worden. Alles andere ist ausnahmslos von Dir selbst
> installiert oder durch eine von Dir veranlasste Ausnahme vorhanden.

Im Prinzip ja (Jerevan), ich hatte primär das Chaos im Blick, was sich
unter Serverzertifikate ansammelt. Und dort sind Sachen drin, wo ich
nicht sicher war, ob ich die alle durchgewinkt habe oder ob sie ohne
Dialog gespeichert wurden. Aber gut, wenn *prinzipiell* nur nach Dialog
erlaubte Zertifikate gespeichert werden, wäre das geklärt.

--


CU Chr. Maercker.