Eine meiner Thesen in meiner Session “Broken by Design: Warum wir PKIs nicht trauen können (aber keine andere Wahl haben)” auf der Experts Live Germany 2024 lautete: Betreibe keine PKI, wenn du sie nicht wirklich brauchst. Das führte zu einiger Diskussion. Ein Teilnehmer fragte mich, ob ich damit etwa davon abraten würde, LDAPS in einer […]

Hier findet ihr das Handout meiner Session “Broken by Design: Warum wir PKIs nicht trauen können (aber keine andere Wahl haben)” auf der Experts Live Germany 2024.

Wer sich auf einen anderen Rechner per Remote Desktop verbindet bekommt ohne Konfiguration eine Meldung. Jeder Windows Client erstellt ein selbst signiertes Zertifikat für die RDP-Verbindung. Über dieses Zertifikat wird die gesicherte Verbindung hergestellt. Es ist etwas unschön, da hier erstes eine Warnung kommt – wie kann ich sicher sein, ob es das richtige ist? […]

Setzt man sich mit der Planung und Implementierung einer (möglicherweise Multi-Tier-) Enterprise-CA unter Windows auseinander, so wird man feststellen, dass hierfür sowohl ein CRL-Webserver (Certificate Revocation List) als auch ein OCSP Responder (Online Certificate Status Protocol) sinnvoll sind. In größeren Umgebungen befinden sich sowohl der CRL-Webserver als auch der OCSP Responder meistens in einer DMZ […]

Wer verschlüsselte oder signierte E-Mails nutzen möchte, ist darauf angewiesen, die Mail-Zertifikate seiner Kommunikationspartner zu erhalten und zu überprüfen. Vor Kurzem wiesen wir auf den neuen Dienst “OpenKeys” der deutschen Firma NetAtWork hin, der über ein zentrales Repository solche Zertifikate zugänglich macht. Bereits seit Längerem bietet auch die deutsche Firma Zertificon einen solchen Dienst an. […]

Ein neuer kostenloser Dienst soll den Umgang mit Mailverschlüsselung unterstützen. Die Webseite “Open Keys” bietet verschiedene Schnittstellen, um (öffentliche) Zertifikate zu Mailadressen zu finden und herunterzuladen. Das kann eine entscheidende Hilfe sein, um Vertraulichkeit bei E-Mail endlich handhabbar zu machen. Eine wichtige Hürde bei der Mailverschlüsselung ist wenig bekannt: Wenn ich einer anderen Person eine […]

ADFS arbeitet typischerweise mit einer “klassischen” Benutzeranmeldung über Benutzername und Kennwort. Hierzu wird in der Regel das AD-Konto des betreffenden Anwenders herangezogen. Seit einigen Versionen bietet ADFS allerdings auch eine zertifikatsbasierte Anmeldung für den Anwender. Diese kann an die Stelle der Kennwortanmeldung treten, man kann sie aber auch als zweiten Faktor nutzen. Bis einschließlich Windows […]

Dieser Beitrag erschien zuerst bei blog.michael-wessel.de Versucht man, auf einer Windows-Enterprise-CA einen Zertifikatsrequest aus einer Datei zu bearbeiten, so kann der folgende Fehler auftreten: Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE) Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage noch das Anforderungsattribut „CertificateTemplate“. Die Ursache dafür: Im Request ist […]

Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen. Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut […]

Heimlich, still und leise haben wir am 1. März 2017 unsere gesamte Webseite auf TLS-verschlüsselte Verbindungen umgestellt (umgangssprachlich auch “SSL-gesichert” genannt). Damit wollen wir die sinnvollen Bestrebungen unterstützen, den Datenverkehr im Netz sicherer zu machen. Tatsächlich war die Umstellung recht einfach, daher geben wir im Folgenden einen Überblick, was wir getan haben.