Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 01:48

    Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

    - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

    - Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

    - Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

    - Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

    Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.

  2. Re: Das Problem mit den Zertifikaten

    Autor: bifi 24.12.17 - 11:30

    Soweit ich das auch verstanden habe war vor allem das Problem, dass sich aus der beA Software der private Schlüssel des Zertifikats extrahieren lässt. Zusammen mit der Tatsache dass das Root Zertifikat als Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    Genau DAS ist das Problem.

    Wenn es hier tatsächlich nur um einen lokalen Webserver geht: dann ist die Frage berechtigt, warum man hier überhaupt https benötigt. Der Server muss nur soweit konfiguriert werden, dass er keine Verbindungen von außen annimmt.

  3. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 19:47

    bifi schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das auch verstanden habe war vor allem das Problem, dass sich
    > aus der beA Software der private Schlüssel des Zertifikats extrahieren
    > lässt. Zusammen mit der Tatsache dass das Root Zertifikat als
    > Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine
    > Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    > Genau DAS ist das Problem

    Dass sich der private Schlüssel extrahieren lässt ist aufgrund der Tatsache dass das Teil eben einen lokalen Webserver installiert technisch nicht zu umgehen, wie soll das sonst funktionieren

    Aber dass a) das CA-Flag gesetzt ist und b) auf allen Installationen das gleiche Zerifikat benutzt wird sollte eigentlich unter Strafe stehen

  4. Re: Das Problem mit den Zertifikaten

    Autor: Apfelbrot 24.12.17 - 20:56

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und
    > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die
    > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.

    Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung von wegen Logindaten und kein HTTPS...

  5. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 21:11

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Spoth schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe,
    > und
    > > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er
    > die
    > > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.
    >
    > Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung
    > von wegen Logindaten und kein HTTPS...

    Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client und Server ohnehin nur auf localhost laufen sollen

    Die Antwort ist weil es dann nicht irgendein umgeschulter Hausmeister zusammen stümpern hätte können und wie man sieht auch nicht sollen hätte

    Mein Job ist Webentwickler, aber deswegen bin ich nicht so dumm zu glauben das alles in den Browser gehört

  6. Re: Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 23:54

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum
    > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client
    > und Server ohnehin nur auf localhost laufen sollen

    Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS mit und ist eigentlich eine Webpplikation. Electron nennt sich das Framework: https://electronjs.org/apps

  7. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 25.12.17 - 03:01

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > LearnYourJob schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist
    > warum
    > > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn
    > Client
    > > und Server ohnehin nur auf localhost laufen sollen
    >
    > Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS
    > mit und ist eigentlich eine Webpplikation. Electron nennt sich das
    > Framework: electronjs.org

    Macht es das besser?

    Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen Netzwerken bilden zu lassen, aus der Schule rauszukommen ohne einen geraden Satz formulieren zu können (Wenn ich die ganzen Trottel mit ihrem "nen" als einzigen geläufigen Artikel schon lese) aber gut ist das alles deswegen noch lange nicht

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. Stiegelmeyer GmbH & Co. KG, Herford
  3. über duerenhoff GmbH, Raum Mannheim, deutschlandweit
  4. ASK Chemicals GmbH, Hilden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    1. Uploadfilter: EU-Kommission bezeichnet Reformkritiker als "Mob"
      Uploadfilter
      EU-Kommission bezeichnet Reformkritiker als "Mob"

      In der Debatte über die Reform des EU-Urheberrechts verschärft sich der Ton. Während die EU-Kommission Vergleiche mit dem Brexit-Referendum zieht und Unions-Politiker von Fake-Kampagnen sprechen, gehen Tausende Gegner von Uploadfiltern in Köln auf die Straße.

    2. Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus
      Datenschutz
      18.000 Android-Apps spionieren Nutzer unzulässig aus

      Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe.

    3. Erneuerbare Energien: Shell übernimmt Heimakku-Hersteller Sonnen
      Erneuerbare Energien
      Shell übernimmt Heimakku-Hersteller Sonnen

      Der Erdölkonzern Shell setzt sein Engagement im Bereich erneuerbare Energien fort. Nun kauft das Unternehmen einen Konkurrenten für Teslas Powerwalls aus dem Allgäu.


    1. 16:51

    2. 13:16

    3. 11:39

    4. 09:02

    5. 19:17

    6. 18:18

    7. 17:45

    8. 16:20