- Mozilla Firefox verwendet die Mozilla "Network Security Services" (NSS) mit einer eigenen Datenbank, in der Zertifikate, digitale IDs und Schnittstellen zu anderen Security Modulen (SmartCards, HW- & SW-Token) hinterlegt sind.
- Mozilla Thunderbird verwendet ebenfalls NSS, speichert diese Informationen jedoch in einer getrennten Datenbankdatei. Die in Firefox importierten Zertifikate stehen somit nicht automatisch auch Thunderbird zur Verfügung - dafür, dass es sich bei den beiden Programmen um zwei Teile einer "Suite" eines und desselben Anbieters handelt, eigentlich sonderbar.
- Epiphany verwendet als Gecko-basierter Browser ebenfalls NSS. Und zwar - man ahnt es schon - wiederum mit einer gesonderten Zert-DB.
- Evolution verwendet sowohl eine typische NSS cert8.db als auch andere (camel-cert.db, key3.db) und bringt seine Zertifikate in einer eigenen Verzeichnisstruktur mit. Die dbzgl. Zusammenhänge werden dzt. genauer untersucht.
- Google Chrome setzt auch auf NSS - abermals gibt es hier eine gesonderte Zert-DB, die jedoch immerhin im Benutzerprofil selbst verankert ist (~/.pki/nssdb/cert9.db). Leider funktioniert unter noch zu untersuchenden Bedingungen bei einzelnen Zertifikaten der Import via GUI hier nicht, sodass er vglw. umständlich über CLI erledigt werden muss ("certutil" et al. aus den NSS3-Tools).
- Opera bringt wiederum eigene Zert-DBs mit, die über das eingebaute GUI administriert werden (opcacert6.dat, opcert6.dat).
- OpenOffice verwendet lt. Dokumentation die NSS-DB von Thunderbird - falls dieser nicht installiert ist, diejenige von Firefox. Entsprechende Tests waren aber noch nicht durchschlagend erfolgreich, die Situation hat sich in den aktuellsten OpenOffice-Versionen evtl. auch geändert - work in progress.
- Adobe Reader setzt stattdessen auf libcurl für die Zert-Verwaltung (und bringt die lib selbst mit, anstatt die systemweit installierte zu verwenden) und besitzt dementsprechend auch seine eigene Zertifikatsdatei (~/.adobe/Acrobat/x.x/Cert/curl-ca-bundle.crt).
Man sieht also: Alleine die Installation der erforderlichen Root- und Intermediate-Zertifikate ist dem Benutzer, sofern er diese synchron in mehreren Applikationen nutzen möchte, eigentlich nicht zuzumuten - zumal die GUIs in der Regel beim Import keine Möglichkeit der Mehrfachauswahl von Zertifikaten bieten. Jedes Zertifikat muss daher einzeln importiert und konfiguriert ("trustargs") werden... alleine für die gängigsten österreichischen Zertifikate sind das also ca. 40 (in Worten: vierzig!) einzelne Importvorgänge, und das gesondert für jede Applikation. Ein zentraler Certificate Store tut unserer Ansicht nach unbedingt not, die dbzgl. Untersuchungen sind im Gange...
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.