-
bitte auch ohne cert ssl
Autor: lisgoem8 07.08.12 - 14:55
Was mir bei http fehlt ist eine SSL Funktion ohne gleich einen teuren Zertifizierungsprozess mit Adressefreigabe machen zu müssen. Gerade das ist bei SPDY ja leider nötig. Da es nur mit SSL arbeiten.
Deshalb mein Wunsch: eine rein Verschlüsselte HTTP Verbindung.
Ähnliche wie es bei SSH Funktioniert. Wo man nur noch bei Änderung an der Signatur gewarnt wird. Ob man die neue akzeptiert. -
Re: bitte auch ohne cert ssl
Autor: chrulri 07.08.12 - 15:22
Nun, das liegt in der Hand der Browserprogrammierer und hat nichts mit dem Protokoll zu tun.
Damit nicht jeder User beim ersten Besuch einer verschlüsselten Seite ein Zertifikat akzeptieren muss - wovon er eh keine Ahnung hat und alles akzeptieren würde was man ihm vor die Nase hält - hat man sich dazu entschieden eben eine liste von vertrauenswürdigen root-zertifikaten einzubauen und alle davon abgeleiteten zertifikate automatisch zu vertrauen. -
Du hast es glaube ich nicht verstanden
Autor: tilmank 07.08.12 - 15:31
Was der Thread-Starter meinte ist, dass Zertifikate neben der verschlüsselten Übertragung auch der Identitätsprüfung dienen. Für viele kleinere Seiten ist das absolut nebensächlich, wenn man z.B. nur verhindern möchte, dass zwischendrin jemand die Pakete mitliest.
Daher muss eine Übertragungsverschlüsselung ohne Identitätsprüfung her!
chrulri schrieb:
> Nun, das liegt in der Hand der Browserprogrammierer und hat nichts mit dem
> Protokoll zu tun.
>
> Damit nicht jeder User beim ersten Besuch einer verschlüsselten Seite ein
> Zertifikat akzeptieren muss - wovon er eh keine Ahnung hat und alles
> akzeptieren würde was man ihm vor die Nase hält - hat man sich dazu
> entschieden eben eine liste von vertrauenswürdigen root-zertifikaten
> einzubauen und alle davon abgeleiteten zertifikate automatisch zu
> vertrauen.
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
Du fühlst dich durch einen meiner Beiträge provoziert oder persönlich angegriffen? -> ¯\_(ツ)_/¯ http://www.wordforge.net/images/smilies/simpsons_nelson_haha2.jpg -
Re: Du hast es glaube ich nicht verstanden
Autor: chrulri 07.08.12 - 15:44
Dann hast du nicht verstanden, dass das eine Browser-abhängige Implementierung ist.
Der Browser entscheidet welchen Zertifikaten er automatisch vertraut (Identitätsprüfung) und welche er dem User zur Überprüfung vorlegt. Der User kann (oder konnte es zumindest bei Firefox früher) dann auch sagen, dass er es dauerhaft akzeptiert. Dies führt dazu, dass der Browser das Zertifikat in seinen Liste der vertrauenswürdigen Zertifikate einfügt.
PuTTY (um ein SSH Beispiel zu bringen) hat in erster Linie keine vordefinierte Liste von vertrauenswürdigen Zertifikaten (bzw. Public-Keys), weshalb der User beim Herstellen einer Verbindung zu einem Server beim ersten Mal akzeptieren muss, wobei es dann in die Liste der Vertrauenswürdigen wandert.
tl;dr: Der Browser muss dir die Möglichkeit bieten self-signed certs zu akzeptieren. HTTP ist dafür nicht verantwortlich.
Alles klar soweit? -
Re: Du hast es glaube ich nicht verstanden
Autor: tilmank 07.08.12 - 15:54
chrulri schrieb:
> tl;dr: Der Browser muss dir die Möglichkeit bieten self-signed certs zu
> akzeptieren. HTTP ist dafür nicht verantwortlich.
Allein die Abfrage verunsichert doch den Besucher einer Seite schon, ist aber wohl so vorgesehen, des weiteren gibt es eben keine Unterscheidung zwischen "Identitätsprüfung" (was ja bei Banken, Shops etc. notwendig ist) und einfacher Verschlüsselung.
Da es wohl alle Browser so machen ist das mindestens ein inoffizieller Standard :D
> Alles klar soweit?
Sowieso.
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
Du fühlst dich durch einen meiner Beiträge provoziert oder persönlich angegriffen? -> ¯\_(ツ)_/¯ http://www.wordforge.net/images/smilies/simpsons_nelson_haha2.jpg -
Re: Du hast es glaube ich nicht verstanden
Autor: nicoledos 08.08.12 - 10:41
Es geht wohl um Sicherheitsklassen.
In der einfachen könnte der Server mit dem Client eine Verschlüsselung aushandeln. Dies ist natürlich nicht so einfach machbar und der Zeitpunkt des Aushandelns angreifbar bzw. aufwendig. Dafür der Vorteil, keine Zertifikate notwendig.
Die zweite könnte eine Art trusted Klasse sein, hier wird tatsächlich die Identität über Zerifikate zusätzlich geprüft. -
Er hat es verstanden :-)
Autor: tilmank 08.08.12 - 10:55
nicoledos schrieb:
> Es geht wohl um Sicherheitsklassen.
>
> In der einfachen könnte der Server mit dem Client eine Verschlüsselung
> aushandeln. Dies ist natürlich nicht so einfach machbar und der Zeitpunkt
> des Aushandelns angreifbar bzw. aufwendig. Dafür der Vorteil, keine
> Zertifikate notwendig.
>
> Die zweite könnte eine Art trusted Klasse sein, hier wird tatsächlich die
> Identität über Zerifikate zusätzlich geprüft.
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
Du fühlst dich durch einen meiner Beiträge provoziert oder persönlich angegriffen? -> ¯\_(ツ)_/¯ http://www.wordforge.net/images/smilies/simpsons_nelson_haha2.jpg -
Re: Du hast es glaube ich nicht verstanden
Autor: lisgoem8 08.08.12 - 11:22
nicoledos schrieb:
--------------------------------------------------------------------------------
> Es geht wohl um Sicherheitsklassen.
>
> In der einfachen könnte der Server mit dem Client eine Verschlüsselung
> aushandeln. Dies ist natürlich nicht so einfach machbar und der Zeitpunkt
> des Aushandelns angreifbar bzw. aufwendig. Dafür der Vorteil, keine
> Zertifikate notwendig.
>
> Die zweite könnte eine Art trusted Klasse sein, hier wird tatsächlich die
> Identität über Zertifikate zusätzlich geprüft.
nickt. so schön hätte ich es gerne auch gleich Formuliert. Es trifft so am besten den Punkt.
Hoffen wir nur das so was kommt. Es wäre meine Meinung wirklich nötig. Es gibt so viele offene WLANs. Und diese Methode würde die Hürden deutlich erhöhen.
Theoretisch dürfte auch DNSSec ausreichen um hier dann die heimliche Umleitung zur Lausch-en/de-kodierung zu unterbinden. Wobei ich auch schon Ideen hätte wie man das umgehen könnte. Diese wäre aber deutlich aufwendiger. -
Re: Er hat es verstanden :-)
Autor: chrulri 09.08.12 - 11:43
Auch er scheint nicht zu verstehen wie die Verschlüsselung (bzw. der Aufbau des verschlüsselten Kommunikationskanals) bei SSL abläuft (siehe sein erster Absatz), dass lediglich der Browser entscheidet was nun ein Trusted und was ein Not-Trusted Zertifikat ist und dass ein Zertifikat nichts anderes als ein Public-Key mit zusätzlichen Informationen (Domain, Ersteller, Ablaufdatum, etc..) ist (siehe sein zweiter Absatz).
-
Re: Er hat es verstanden :-)
Autor: tilmank 09.08.12 - 14:22
chrulri schrieb:
> Auch er scheint nicht zu verstehen wie die Verschlüsselung (bzw. der Aufbau
> des verschlüsselten Kommunikationskanals) bei SSL abläuft (siehe sein
> erster Absatz), dass lediglich der Browser entscheidet was nun ein Trusted
> und was ein Not-Trusted Zertifikat ist
Tut er schon, denk doch mal über den Tellerrand hinaus darüber nach, dass bei dem gegenwärtig etablierten SSL dieses "Trusted" vorgesehen ist, und darum die Browserhersteller im Prinzip keine Wahl haben das mit selbst signierten Zertifikaten so unkomfortabel zu handhaben. Ein zweiter Standard (braucht ja an der Verschlüsselung an sich nichts zu ändern, aber eben *untrusted sein*) wäre da schon sinnvoll.
> und dass ein Zertifikat nichts
> anderes als ein Public-Key mit zusätzlichen Informationen (Domain,
> Ersteller, Ablaufdatum, etc..) ist (siehe sein zweiter Absatz).
Ist bekannt und zeigt auch schön das Problem. Bei Untrusted Zertifikaten wären Ersteller, Domain und Ablaufdatum vollkommen überflüssig, stattdessen müsste eben drinstehen, dass es nur dem Schutz der Übertragung und nicht der Identifikation dient.
Wegen dieses Dilemmas kann ich z.B. den SPDY-Patch für nginx zwar testen, aber eben nicht standardmäßig auf den Webserver loslassen..
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
Du fühlst dich durch einen meiner Beiträge provoziert oder persönlich angegriffen? -> ¯\_(ツ)_/¯ http://www.wordforge.net/images/smilies/simpsons_nelson_haha2.jpg -
Re: Er hat es verstanden :-)
Autor: chrulri 09.08.12 - 14:36
tilmank schrieb:
--------------------------------------------------------------------------------
> Tut er schon, denk doch mal über den Tellerrand hinaus darüber nach, dass
> bei dem gegenwärtig etablierten SSL dieses "Trusted" vorgesehen ist, und
> darum die Browserhersteller im Prinzip keine Wahl haben das mit selbst
> signierten Zertifikaten so unkomfortabel zu handhaben.
Und ob sie eine Wahl haben, am SSL Standard hat sich nichts geändert lediglich die Browserhersteller haben sich dazu entschieden es dem geneigten ITler zu verunmöglichen ein self-signed Zertifikat auf einfache Weise dauerhaft zu akzeptieren.
Der Ball liegt hier, wie ich schon mehrmals erwähnt habe, beim Browserhersteller, nicht beim Protokoll.
> Ein zweiter Standard
> (braucht ja an der Verschlüsselung an sich nichts zu ändern, aber eben
> *untrusted sein*) wäre da schon sinnvoll.
Das hat nichts mit dem Standard zu tun, sondern liegt beim Browserhersteller. Der Standard könnte dem Browserhersteller höchstens vorschreiben was er als gefährlich und was nicht einzustufen hat, aber das geht wohl schon zu weit.
> Ist bekannt und zeigt auch schön das Problem. Bei Untrusted Zertifikaten
> wären Ersteller, Domain und Ablaufdatum vollkommen überflüssig, stattdessen
> müsste eben drinstehen, dass es nur dem Schutz der Übertragung und nicht
> der Identifikation dient.
Auch bei self-signed Zertifikaten ist es nicht witzig wenn da nur Garbage drin steht. Denn ist ein self-signed Zertifikat erstmal vom User abgesegnet und somit "Trusted" soll es ebenso ein Ablaufdatum und die weiteren Informationen beinhalten.
> Wegen dieses Dilemmas kann ich z.B. den SPDY-Patch für nginx zwar testen,
> aber eben nicht standardmäßig auf den Webserver loslassen..
Bedank dich bei den Browserherstellern oder lass dir ein signiertes Zeritifkat ausstellen, gibts auch gratis (jedoch nur mit einjähriger Lebensdauer): http://www.startssl.com/ -
Re: Er hat es verstanden :-)
Autor: tilmank 09.08.12 - 15:26
Ich denke alle Standpunkte sind ausgedrückt, ohne eine Annäherung in der Sichtweise zu erreichen :-)
chrulri schrieb:
> Bedank dich bei den Browserherstellern oder lass dir ein signiertes
> Zeritifkat ausstellen, gibts auch gratis (jedoch nur mit einjähriger
> Lebensdauer): www.startssl.com
Danke, kannte bisher nur CACert und die sind leider auch nicht in allen Browsern.
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
Du fühlst dich durch einen meiner Beiträge provoziert oder persönlich angegriffen? -> ¯\_(ツ)_/¯ http://www.wordforge.net/images/smilies/simpsons_nelson_haha2.jpg



