Zertifikate Raspi Browser Epiphany
Zertifikate Raspi Browser Epiphany
Meine Kinder nutzen einen Raspi mit aktuellem Raspbian. Wie kann ich nun das Zertifikat der Trutzbox in den Browser Epiphany importieren?
-
comidio support
- Posts: 1272
- Joined: Sun 12. Jul 2015, 19:43
- Contact:
Re: Zertifikate Raspi Browser Epiphany
Haben Sie es mal damit probiert:
https://help.gnome.org/users/epiphany/u ... rt.html.en
Aber das scheint nicht so einfach zu sein:
https://bugs.launchpad.net/epiphany-browser/+bug/181893
Ihr Comidio Support
https://help.gnome.org/users/epiphany/u ... rt.html.en
Aber das scheint nicht so einfach zu sein:
https://bugs.launchpad.net/epiphany-browser/+bug/181893
Ihr Comidio Support
Ihr TrutzBox Support
Re: Zertifikate Raspi Browser Epiphany
Herzlichen Dank für Ihre Antwort.
Das hatte ich auch gefunden, jedoch kam ich nicht weiter, da es unter Raspbian kein Paket mit diesem Kommando zu geben scheint.
Daher eine Frage: Würde es helfen wenn ich entweder ein Zertifikat kaufen würde? Wenn ja, welche Art von Zertifikat würde ich benötigen (Wildcars-Zertifikat für Apache, ...). Denn mit unseren eReadern u.a. habe ich letztlich die gleichen Probleme. Daher wäre es meine Hoffnung, dass ich dann bei keinem System mehr Zertifikate mehr installieren + aktivieren müsste.
Das hatte ich auch gefunden, jedoch kam ich nicht weiter, da es unter Raspbian kein Paket mit diesem Kommando zu geben scheint.
Daher eine Frage: Würde es helfen wenn ich entweder ein Zertifikat kaufen würde? Wenn ja, welche Art von Zertifikat würde ich benötigen (Wildcars-Zertifikat für Apache, ...). Denn mit unseren eReadern u.a. habe ich letztlich die gleichen Probleme. Daher wäre es meine Hoffnung, dass ich dann bei keinem System mehr Zertifikate mehr installieren + aktivieren müsste.
-
comidio support
- Posts: 1272
- Joined: Sun 12. Jul 2015, 19:43
- Contact:
Re: Zertifikate Raspi Browser Epiphany
Das TrutzBox-Zertifikat, das Sie in jedes Gerät importieren müssen, erfüllt zwei unterschiedliche Zwecke:
- Es wird zum einen vom Mail-Client, XMPP-Client und auch vom Browser genutzt, um die entsprechende TrutzBox-Server-Software zu authentisieren. Also um den TrutzBox-Mail-Server, den -XMPP-Server und den -WEB-Server (für TrutzBox-UI und Webmin) zu authentisieren. Für diesen Zweck könnte man ein offizielles Zertifikat kaufen (also eines, dessen Gültigkeit durch ein auf PC-Seite vorhandenes Stamm-Zertifikat bestätigt wird). Sie können ein solches Server-Zertifikat allerdings nur für eindeutige Domains, die aus dem Internet aus erreichbar sind, kaufen. Das ist bei der TrutzBox nur gegeben, wenn der TrutzBox Anwender für sich eine DynDNS-Adresse eingerichtet und Port 80/443 auf seinem Internet-Router geöffnet hat. Das ist oft nicht der Fall.
- Zum Zweiten wird das TrutzBox-Zertifikat dazu verwendet, um für jede über TrutzBrowse aufgerufene SSL verschlüsselte Web-Seite, für die ein neues SSL-Zertifikat generiert wird, mit diesem TrutzBox-Zertifikat zu signieren (sorry ich weiß, dieser Satz ist etwas kompliziert). D.H. das TrutzBox-Zertifikat ist kein normales Server-Zertifikat, sondern ein Stamm-Zertifikat. Nur damit ist die TrutzBox in der Lage, dynamisch beim Surfen generierte Server-Zertifikate zu signieren. Und nur wenn sie dieses Stamm-Zertifikat in den Client laden, wird der Client jedes von der TrutzBox generierte und damit signierte Zertifikat, als gültig anerkennen. Ein solches Stamm-Zertifikat kann man nicht kaufen.
Nur mit dieser recht komplexen Vorgehensweise ist sicher gestellt, dass der Man-in-the-Middle Angriff, den die TrutzBox bei SSL-verschlüsselten Web-Zugriffen durchführen muss, wirklich sicher ist.
Somit könnten Sie zwar mit einem gekauften Zertifikat den ersten Fall abdecken, nicht den zweiten Fall.
Ihr Comidio Support
- Es wird zum einen vom Mail-Client, XMPP-Client und auch vom Browser genutzt, um die entsprechende TrutzBox-Server-Software zu authentisieren. Also um den TrutzBox-Mail-Server, den -XMPP-Server und den -WEB-Server (für TrutzBox-UI und Webmin) zu authentisieren. Für diesen Zweck könnte man ein offizielles Zertifikat kaufen (also eines, dessen Gültigkeit durch ein auf PC-Seite vorhandenes Stamm-Zertifikat bestätigt wird). Sie können ein solches Server-Zertifikat allerdings nur für eindeutige Domains, die aus dem Internet aus erreichbar sind, kaufen. Das ist bei der TrutzBox nur gegeben, wenn der TrutzBox Anwender für sich eine DynDNS-Adresse eingerichtet und Port 80/443 auf seinem Internet-Router geöffnet hat. Das ist oft nicht der Fall.
- Zum Zweiten wird das TrutzBox-Zertifikat dazu verwendet, um für jede über TrutzBrowse aufgerufene SSL verschlüsselte Web-Seite, für die ein neues SSL-Zertifikat generiert wird, mit diesem TrutzBox-Zertifikat zu signieren (sorry ich weiß, dieser Satz ist etwas kompliziert). D.H. das TrutzBox-Zertifikat ist kein normales Server-Zertifikat, sondern ein Stamm-Zertifikat. Nur damit ist die TrutzBox in der Lage, dynamisch beim Surfen generierte Server-Zertifikate zu signieren. Und nur wenn sie dieses Stamm-Zertifikat in den Client laden, wird der Client jedes von der TrutzBox generierte und damit signierte Zertifikat, als gültig anerkennen. Ein solches Stamm-Zertifikat kann man nicht kaufen.
Nur mit dieser recht komplexen Vorgehensweise ist sicher gestellt, dass der Man-in-the-Middle Angriff, den die TrutzBox bei SSL-verschlüsselten Web-Zugriffen durchführen muss, wirklich sicher ist.
Somit könnten Sie zwar mit einem gekauften Zertifikat den ersten Fall abdecken, nicht den zweiten Fall.
Ihr Comidio Support
Ihr TrutzBox Support
Re: Zertifikate Raspi Browser Epiphany
Danke für die ausführliche Antwort.