Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
firefox und eingebaute zertifikate
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
backus
n00b
n00b


Joined: 06 Aug 2011
Posts: 10

PostPosted: Sat Oct 01, 2011 7:31 pm    Post subject: firefox und eingebaute zertifikate Reply with quote

gibt es eine möglichkeit firefox zu zu kompilieren, daß die zertifikate nicht fest eingebaut sind, sondern beispielsweise jene zertifikate verwendet werden, die ohnehin schon auf meinem rechner sind: "/usr/share/ca-certificates/mozilla"? oder läßt dich wenigstens steuern, welche zertifikate eingebaut werden, ohne das man extrem in den quellcode eingreifen muß?
Back to top
View user's profile Send private message
backus
n00b
n00b


Joined: 06 Aug 2011
Posts: 10

PostPosted: Sun Oct 02, 2011 3:07 pm    Post subject: Reply with quote

update: kann es sein, das unter gentoo die zertifikate für firefox gar nicht fest eingebaut sind, sondern woanders herkommen?


update2: ich habe inzwischen rausbekommen, das die zertifikate, die firefox nutzt (und auch viele andere anwendungen: chromium, seamonkey, ...) wohl aus der bibliothek nss kommen. allerdings weis ich, das im firefox code selbst auch noch ein haufen zertifikate enthalten sind. und dann gibt es ja auch noch das paket ca-certificates. warum so viel redundanz? werden die zertifikate im forefox code jetzt eigentlich mitkompiliert/verwendet (läßt sich das über flags beim "configure" steuern)? und greift eigentlich überhaupt irgendein programm auf "/usr/share/ca-certificates/mozilla" zu, wenn nein: warum nicht?

wenn jemand mehr über diesen zertifikat-irrsinn weiß, immer raus damit...
Back to top
View user's profile Send private message
Christian99
Veteran
Veteran


Joined: 28 May 2009
Posts: 1176

PostPosted: Sun Oct 02, 2011 6:43 pm    Post subject: Reply with quote

die zertifikate in /usr/share/ca-certificates/mozilla gehören gar nicht zum firefox, sondern zum ca-certificates paket, während firefox gar keine zertifikate installiert.
ich vermute mal, dass ca-certificates eine Sammlung von zertifikaten aus verschidenen quellen ist, unter anderem mozilla.
Vermutlich werden dann mit apps mitgelieferte zertifikate nicht mit installiert, sondern auf die durch ca-certificates gestelletn zurückgergriffen. also keine redundanz.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2224
Location: Germany

PostPosted: Mon Oct 03, 2011 2:46 pm    Post subject: Reply with quote

Nun ich gehe mal davon auch das du dich dies fragst weil es in den letzten Wochen Probleme mit einer Certificate Authority gab.

Aber warum verwendest du nicht einfach die Zertifikat-Verwaltung im Firefox? Dort kann man auch einer Zertifizierungsstelle das vertrauen entziehen.

Ich frage mich allerdings wie das gerade Systemweit für alle Nutzer geht.
Back to top
View user's profile Send private message
backus
n00b
n00b


Joined: 06 Aug 2011
Posts: 10

PostPosted: Mon Oct 03, 2011 6:37 pm    Post subject: Reply with quote

Christian99 wrote:
die zertifikate in /usr/share/ca-certificates/mozilla gehören gar nicht zum firefox, sondern zum ca-certificates paket, während firefox gar keine zertifikate installiert.
ich vermute mal, dass ca-certificates eine Sammlung von zertifikaten aus verschidenen quellen ist, unter anderem mozilla.
Vermutlich werden dann mit apps mitgelieferte zertifikate nicht mit installiert, sondern auf die durch ca-certificates gestelletn zurückgergriffen. also keine redundanz.


firefox greift eben gerade NICHT auf das packet ca-certificates zu (ggf. kann man das ja beim kompileren umbiegen, aber ich wüßte nicht wie). firefox bezieht seine zertifikate aus der datei libnsssckbi.so (ersichtlich unter: preferences / advanced / encryption / security devices / builtin roots module). dann gibt es dort noch einen eintrag "nss internal pkcs #11 module"... woher die dann kommen weiß ich nicht (vermutlich aus dem firefox code selbst).

wie schon gesagt, fände ich es gut und richtig, wenn firefox auf ca-certificates referenzieren würde, aber benutzt wird nunmal nss. die dort enthaltenen zertifikate kommen aus dem nss quellcode: ${nss-src}/mozilla/security/nss/lib/ckfw/builtins/certdata.[c|txt]. und der firefox code enthält wie gesagt auch zertifikate, von denen ich nicht weiß, ob bzw. welche in die ausführbare datei eingebaut werden: ${mozilla-src}/security/nss/lib/ckfw/builtins/certdata.[c|txt].

@ChrisJumper
klar man kann besimmten zertifikaten im "user space" immer das vertrauen entziehen, aber deswegen sind sie systemweit immernoch da. soweit ich mich beispielsweise an das diginotar-desaster erinnere, war gentoo einer der ersten linux distributionen, die ein aktualisiertes ca-certificates veröffentlicht haben, bei dem die entspechenden zertifikate entfernt wurden... vorbildlich... aber was nützt es wenn der browser sich gar nicht darauf bezieht, sondern sein eigenes zeug dabei hat, oder sich eben auf nss bezieht?!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum