Das TrutzBox-Zertifikat, das Sie in jedes Gerät importieren müssen, erfüllt zwei unterschiedliche Zwecke:
- Es wird zum einen vom Mail-Client, XMPP-Client und auch vom Browser genutzt, um die entsprechende TrutzBox-Server-Software zu authentisieren. Also um den TrutzBox-Mail-Server, den -XMPP-Server und den -WEB-Server (für TrutzBox-UI und Webmin) zu authentisieren. Für diesen Zweck könnte man ein offizielles Zertifikat kaufen (also eines, dessen Gültigkeit durch ein auf PC-Seite vorhandenes Stamm-Zertifikat bestätigt wird). Sie können ein solches Server-Zertifikat allerdings nur für eindeutige Domains, die aus dem Internet aus erreichbar sind, kaufen. Das ist bei der TrutzBox nur gegeben, wenn der TrutzBox Anwender für sich eine DynDNS-Adresse eingerichtet und Port 80/443 auf seinem Internet-Router geöffnet hat. Das ist oft nicht der Fall.
- Zum Zweiten wird das TrutzBox-Zertifikat dazu verwendet, um für jede über TrutzBrowse aufgerufene SSL verschlüsselte Web-Seite, für die ein neues SSL-Zertifikat generiert wird, mit diesem TrutzBox-Zertifikat zu signieren (sorry ich weiß, dieser Satz ist etwas kompliziert). D.H. das TrutzBox-Zertifikat ist kein normales Server-Zertifikat, sondern ein Stamm-Zertifikat. Nur damit ist die TrutzBox in der Lage, dynamisch beim Surfen generierte Server-Zertifikate zu signieren. Und nur wenn sie dieses Stamm-Zertifikat in den Client laden, wird der Client jedes von der TrutzBox generierte und damit signierte Zertifikat, als gültig anerkennen. Ein solches Stamm-Zertifikat kann man nicht kaufen.
Nur mit dieser recht komplexen Vorgehensweise ist sicher gestellt, dass der Man-in-the-Middle Angriff, den die TrutzBox bei SSL-verschlüsselten Web-Zugriffen durchführen muss, wirklich sicher ist.
Somit könnten Sie zwar mit einem gekauften Zertifikat den ersten Fall abdecken, nicht den zweiten Fall.
Ihr Comidio Support
