Beitrag
von smutbert » 24.02.2015 09:53:45
Ok, man möge mich bitte korrigieren, wenn ich falsch liege, aber in letzter Zeit hat man sich ja fast zwangsläufig mit dem ganzen Sicherheitskram auseinandersetzen müssen, weshalb ich mich an einer Antwort versuche:
Ein Zertifikat besteht im wesentlichen aus dem (öffentlichen) Schlüssel, Informationen zum Herausgeber und einer Signatur. Will man nun die Gültigkeit überprüfen überprüft man also die Signatur, damit man sicher weiß, dass das Zertifikat tatsächlich von dem Herausgeber stammt von dem es zu sein scheint. Von dem gibt es dann wieder ein Zertifikat, dessen Signatur man vermutlich ebenfalls überprüfen möchte, usw.
Das funktioniert dann (hoffentlich) bis hinauf zu einem "Wurzelzertifikat", dem das eigene System vertraut.
Pinning würde meines Wissens nun bedeuten, diese Baumstruktur mehr oder weniger zu ignorieren und einem oder mehreren bestimmten Zertifikaten oder öffentlichen Schlüsseln direkt zu vertrauen. So wird zB der Google Chrome Browser wahrscheinlich automatisch die Google-Zertifikate enthalten und ihnen vertrauen.
