So ein Zertifikat besagt nur, dass es von einer Art Behörde ausgestellt wurde, die zertifiziert, dass diese Seite mit dem Inhaber übereinstimmt.
Schön wär´s. So ein Zertifikat bestätigt nur, daß der Inhaber es sich von irgendjemandem hat bestätigen lassen, der ihm dafür Geld abgenommen hat. Mehr nicht.
Ob Du z.B. der Lobby
Verisign vertraust oder nicht, wird Dir damit immer noch nicht abgenommen. Ebensowenig die Tatsache, daß Du immer noch selbst überprüfen mußt, ob das Zertifikat zur hostenden Site passt oder nicht. Mit solchen Zertifikaten wird in erster Linie viel Geld verdient, aber mit einem haben sie ganz sicher gar nichts zu tun: mit "einer Art Behörde".
Ich kann mir ein Zertifikat auch selbst bauen, geht völlig problemlos. Der Nutzer meiner Site kann dann die Daten im Zertifikat ja selbst überprüfen und mit den Daten des täglichen Lebens vergleichen (stimmt die URL, stimmen die Namen uswusf.). Dann kann er das Zertifikat akzeptieren und importieren in seinem Browser und hat letztlich das gleiche. Unterstützen könnte ich als potentieller Sitebetreiber den User noch, in dem ich ihm die Daten auf einem "sicheren Weg" (signierte Mail, per Post) zusätzlich zur Verifikation zusende. Ist im Endergebnis dasselbe, nur ohne Kosten und eben nicht von einem übergeordneten Unternehmen als "Voreinstellung" schon im Browser akzeptiert. Und dass das Zertifikat "abgelaufen" ist, ist nix anderes als das MHD auf Joghurt: ein Hintertürchen für den Zertifikate-Ersteller. Der sagt damit nämlich "nach Datum XY ist das von mir erstellte Zertifikat ungültig", egal ob die dahinterstehenden Daten noch identisch sind oder nicht. Eben genau wie beim MHD beim Joghurt. Der Joghurt weiß auch nicht, wann er "abgelaufen" ist...
Zahlt der Zertifikate-Inhaber sodann wieder an den Ersteller, gibts eben wieder ein neues mit begrenzter Gültigkeit. Vereinfacht gesagt.
Zusammengefaßt:
im Grunde sind diese Zertifikate nutzlos, so lange der Anwender sich blind darauf verläßt und die Funktionsweise, die dahinter steckt, und die ich oben grob umrissen habe, gar nicht versteht.
Oder, kurz, @Gimli666:
überprüfe, ob die Daten im Zertifikat noch mit dem realen Leben übereinstimmen (also kaidomain und nicht kaudomain), und bestelle danach weiter.
