Zitat geschrieben von pfeffer
hm, das ist aber nicht schön. Es gibt also keine Möglichkeit, die Gültigkeit des Zertifikates zu überprüfen?
Na doch. Du hast es doch selbst geprueft.
Zitat geschrieben von pfeffer
In Hibiscus sind sie nicht mitgeliefert, auch keine entsprechenden Root-Zertifikate.
Der TrustManager von Jameica befragt vorher noch den von Java selbst. Aber offensichtlich liefert SUN in Java keine sonderlich umfangreiche Liste mit.
Unabhaengig davon bin ich mir persoenlich gar nicht sicher, ob ich das Mitliefern der (Root-) Zertifikate wirklich gut finden soll. Schliesslich wird damit ja die Verantwortung ueber die Validierung - und somit ueber die Herstellung der Vertrauensstellung zwischen Client und Server - vom User auf den Software-Anbieter (in dem Fall also auf mich) abgewaelzt. Indem ich einen Pool von Root-Zertifikaten verwalte und diese "ab Werk" mit Hibiscus/Jameica ausliefere, kann ich entscheiden, was vertrauenswuerdig ist und was nicht. Der User wuerde dann meiner Vorauswahl blind vertrauen - er wuerde nicht mal mehr einen Warnhinweis sehen.
Zitat
Wie wäre es denn, wenn Hibiscus angibt, ob das alte Zertifikat denn abgelaufen ist:
Das tut Hibiscus auch. Das Zertifikat wurde aber getauscht, kurz bevor es abgelaufen ist. Und so ist das eigentlich auch richtig. Abgelaufene Zertifikate findet man eigentlich nur dann auf Servern, wenns der zustaendige Admin verpennt hat ;)
Zitat
wenn mir jemand per Man-in-the-middle ein anderes unterschieben will, obwohl das alte nicht abglaufen ist, dann werde ich schon mal hellhörig.
Das ist ja auch sehr richtig so.
Aus meiner Sicht erfuellt das Verfahren da genau seinen Zweck. Der User wird gewarnt und kontrolliert daraufhin das Zertifikat.
Aber das ist meine Meinung.