Support-Forum

Zertifikate Raspi Browser Epiphany

Hier bitte alle Fragen einstellen, die keinem anderen Forenthema zugeordnet werden können.
Meine Kinder nutzen einen Raspi mit aktuellem Raspbian. Wie kann ich nun das Zertifikat der Trutzbox in den Browser Epiphany importieren?
Haben Sie es mal damit probiert:

https://help.gnome.org/users/epiphany/u ... rt.html.en

Aber das scheint nicht so einfach zu sein:

https://bugs.launchpad.net/epiphany-browser/+bug/181893

Ihr Comidio Support
Herzlichen Dank für Ihre Antwort.

Das hatte ich auch gefunden, jedoch kam ich nicht weiter, da es unter Raspbian kein Paket mit diesem Kommando zu geben scheint.

Daher eine Frage: Würde es helfen wenn ich entweder ein Zertifikat kaufen würde? Wenn ja, welche Art von Zertifikat würde ich benötigen (Wildcars-Zertifikat für Apache, ...). Denn mit unseren eReadern u.a. habe ich letztlich die gleichen Probleme. Daher wäre es meine Hoffnung, dass ich dann bei keinem System mehr Zertifikate mehr installieren + aktivieren müsste.
Das TrutzBox-Zertifikat, das Sie in jedes Gerät importieren müssen, erfüllt zwei unterschiedliche Zwecke:

- Es wird zum einen vom Mail-Client, XMPP-Client und auch vom Browser genutzt, um die entsprechende TrutzBox-Server-Software zu authentisieren. Also um den TrutzBox-Mail-Server, den -XMPP-Server und den -WEB-Server (für TrutzBox-UI und Webmin) zu authentisieren. Für diesen Zweck könnte man ein offizielles Zertifikat kaufen (also eines, dessen Gültigkeit durch ein auf PC-Seite vorhandenes Stamm-Zertifikat bestätigt wird). Sie können ein solches Server-Zertifikat allerdings nur für eindeutige Domains, die aus dem Internet aus erreichbar sind, kaufen. Das ist bei der TrutzBox nur gegeben, wenn der TrutzBox Anwender für sich eine DynDNS-Adresse eingerichtet und Port 80/443 auf seinem Internet-Router geöffnet hat. Das ist oft nicht der Fall.

- Zum Zweiten wird das TrutzBox-Zertifikat dazu verwendet, um für jede über TrutzBrowse aufgerufene SSL verschlüsselte Web-Seite, für die ein neues SSL-Zertifikat generiert wird, mit diesem TrutzBox-Zertifikat zu signieren (sorry ich weiß, dieser Satz ist etwas kompliziert). D.H. das TrutzBox-Zertifikat ist kein normales Server-Zertifikat, sondern ein Stamm-Zertifikat. Nur damit ist die TrutzBox in der Lage, dynamisch beim Surfen generierte Server-Zertifikate zu signieren. Und nur wenn sie dieses Stamm-Zertifikat in den Client laden, wird der Client jedes von der TrutzBox generierte und damit signierte Zertifikat, als gültig anerkennen. Ein solches Stamm-Zertifikat kann man nicht kaufen.

Nur mit dieser recht komplexen Vorgehensweise ist sicher gestellt, dass der Man-in-the-Middle Angriff, den die TrutzBox bei SSL-verschlüsselten Web-Zugriffen durchführen muss, wirklich sicher ist.

Somit könnten Sie zwar mit einem gekauften Zertifikat den ersten Fall abdecken, nicht den zweiten Fall.

Ihr Comidio Support
Danke für die ausführliche Antwort.