Für die gesicherte Verbindung zwischen zwei Endpunkten, wird SSL (genauer TLS) verwendet. Der Grund für eine solche sichere Verbindung ist, dass man sicher gehen will, dass die ausgetauschten Daten nur die beiden Endpunkte (ich auf der einen Seite und der Server auf der anderen Seite) lesen können. Niemand dazwischen soll die Daten lesen könnnen.
Damit das funktioniert, muss ich sicher sein können, dass ich wirklich mit dem Server kommuniziere, mit dem ich glaube zu kommunizieren. Wenn ich nicht sicher weiß womit ich mich tatsächlich verbinde, könnte jemand anders so tun, als wäre er der Server (dieser Bösewicht heißt auch man in the middle). Meine Daten verschlüssle ich dann so, dass sie nur der man in the middle lesen kann, der packt sie aus (kann sie lesen) und packt sie für den Server neu ein. In der anderen Richtung macht der man in the middle ganau das gleiche, nur in die andere Richtung. Ich tausche dann tatsächlich Daten mit dem richtigen Server aus - nur beobachtet der man in the middle die gesamt Kommunikation.
Den Kummunikationspartner erkennt man an sog. Zertifikaten, in denen ist folgendes enthalten:
Diese Unterschrift kann mit dem Zertifikat, das zur Unterschrift gehört geprüft werden. Diese Zertifikate nennt rooCAs. Jeder Browser und oder jedes System kennt eine Fülle von rootCAs mit denen überprüft werden kann ob ein Zertifikat einer website wirklich zu dieser wesite gehört oder nicht.
Das Unterschreiben mit einen solchen Zertifikat, das von jedem Browser bereits akzeptiert wird, kostet natürlich. Das will ich mir sparen, darum müsst ihr das rootCA, mit dem meine sites unterschrieben wurden erst eurem System bekannt machen.
Die meisten Systeme verstehen das .pem Format für Android braucht man das Zertifikat in binärer Form als .crt - der Inhalt ist identisch.
rootCA-fossy2.pem geignet für die meisten BrowserZuerst müsst ihr mein root CA (die Links sind einen Absatz weiter oben) herunterladen. Wenn ihr nicht wisst, was euer Browser oder System gerne sehen will, ladet beide herunter. Die Zertifikate sind nicht groß - zusammen haben sie 2235 Bytes.
Soweit ich weiß, haben Windows, Mac und Android einen Speicher für root-CA-Zertifikate. Man braucht sie nur einmal dem System bekannt machen und sie gelten für alle Programme, die sich daraus bedienen.
Bei Windows und Mac (Macs kenne ich nur vom hörensagen) importiert man das Zerfifikat mit einem Browser, der verankert es dann im System und die anderen Browser bzw. Mail-Clients sehen es dann auch.
Bei linux muss man diese Zertifikate jedem Programm, das sie verwendet bekannt machen. Das wären alle Browser und alle Mail-Clients
Firefox/Thunderbird unter linux: Bearbeiten - Einstellungen.... Firefox/Thunderbird unter Windows: Extras - Einstellungen....
Dort das Icon "Zahnrad" Erweitert wählen und dort den Reiter Zertifikate und dort wiederum den Knopf Zertifikate anzeigen drücken. Es öffnet sich ein neues Fenste in dem man die Zertifikate sieht. In diesem Fenster wählt ihr den Reiter Zertifizierungsstellen. Wenn ihr dann später das Zertifikat importiert habt, müsst ihr es in dieser langen Liste unter J wiederfinden: J.Fossy Weinzinger SSL CA. Jetzt endlich könnt ihr mein Zertifikat mit Importieren... importieren (Firefox/Thunderbird frissen sowohl das .pem als auch das .crt). Am Schluss kommt noch die Frage zu welchem Zweck das neue CA dienen soll. Ihr müsst mindestens Dieser CA vertrauen, um Websites zu identifizieren anhackerln - die anderen zwei könnt ihr aber auch anhackerln. Falls gewünscht kann man jetzt auch das CA mit Ansicht bewundern. Es sollte die gleichen Informationen enthalten, wie oben angegeben.
Menü (ganz rechts die drei waagrechten Stricherln) - Einstellungen. Dort ganz unten Erweiterte Einstellungen anzeigen. Ziemlich weit unten HTTPS/SSL den Knopf Zertifikate verwalten... drücken. In dem sich öffnenden Fenster den Reiter Zertifizierungsstellen drücken. Wenn ihr dann später das Zertifikat importiert habt, müsst ihr es in dieser langen Liste unter J wiederfinden: J.Fossy Weinzinger SSL CA. Jetzt endlich könnt ihr mein Zertifikat mit Importieren... importieren (Chrome frisst sowohl das .pem als auch das .crt). Am Schluss kommt noch die Frage zu welchem Zweck das neue CA dienen soll. Ihr müsst mindestens Diesem Zertifikat zur Identifizierung von um Webseiten vertrauen anhackerln - die anderen zwei könnt ihr aber auch anhackerln.
Bei Android muss man diese Zertifikate dem System bekantgeben, die Browser und andere Programme verwenden sie dann.
Zuerst müsst ihr das .crt auf der SD-Karte des Android-Gerätes speichern. Auch wenn das Gerät keine SD-Karte hat, gibt es diese dort doch (irgendwie) - es ist das was man als USB-Speicher sieht. Das .crt muss dort im root liegen - in keinem Unterordner.
Weil Google mit jeder neuen Version von Android, die Anordnung der Menüeinträge und manchmal auch die Namen der Menüeinträge ändert, fällt eine Beschreibung schwer. Ich gebe die Menüeinträge meines Gerätes (Android 4.3.1 deutsch) hier an.