Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 01:48

    Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

    - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

    - Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

    - Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

    - Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

    Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.

  2. Re: Das Problem mit den Zertifikaten

    Autor: bifi 24.12.17 - 11:30

    Soweit ich das auch verstanden habe war vor allem das Problem, dass sich aus der beA Software der private Schlüssel des Zertifikats extrahieren lässt. Zusammen mit der Tatsache dass das Root Zertifikat als Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    Genau DAS ist das Problem.

    Wenn es hier tatsächlich nur um einen lokalen Webserver geht: dann ist die Frage berechtigt, warum man hier überhaupt https benötigt. Der Server muss nur soweit konfiguriert werden, dass er keine Verbindungen von außen annimmt.

  3. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 19:47

    bifi schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das auch verstanden habe war vor allem das Problem, dass sich
    > aus der beA Software der private Schlüssel des Zertifikats extrahieren
    > lässt. Zusammen mit der Tatsache dass das Root Zertifikat als
    > Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine
    > Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    > Genau DAS ist das Problem

    Dass sich der private Schlüssel extrahieren lässt ist aufgrund der Tatsache dass das Teil eben einen lokalen Webserver installiert technisch nicht zu umgehen, wie soll das sonst funktionieren

    Aber dass a) das CA-Flag gesetzt ist und b) auf allen Installationen das gleiche Zerifikat benutzt wird sollte eigentlich unter Strafe stehen

  4. Re: Das Problem mit den Zertifikaten

    Autor: Apfelbrot 24.12.17 - 20:56

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und
    > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die
    > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.

    Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung von wegen Logindaten und kein HTTPS...

  5. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 21:11

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Spoth schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe,
    > und
    > > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er
    > die
    > > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.
    >
    > Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung
    > von wegen Logindaten und kein HTTPS...

    Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client und Server ohnehin nur auf localhost laufen sollen

    Die Antwort ist weil es dann nicht irgendein umgeschulter Hausmeister zusammen stümpern hätte können und wie man sieht auch nicht sollen hätte

    Mein Job ist Webentwickler, aber deswegen bin ich nicht so dumm zu glauben das alles in den Browser gehört

  6. Re: Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 23:54

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum
    > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client
    > und Server ohnehin nur auf localhost laufen sollen

    Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS mit und ist eigentlich eine Webpplikation. Electron nennt sich das Framework: https://electronjs.org/apps

  7. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 25.12.17 - 03:01

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > LearnYourJob schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist
    > warum
    > > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn
    > Client
    > > und Server ohnehin nur auf localhost laufen sollen
    >
    > Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS
    > mit und ist eigentlich eine Webpplikation. Electron nennt sich das
    > Framework: electronjs.org

    Macht es das besser?

    Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen Netzwerken bilden zu lassen, aus der Schule rauszukommen ohne einen geraden Satz formulieren zu können (Wenn ich die ganzen Trottel mit ihrem "nen" als einzigen geläufigen Artikel schon lese) aber gut ist das alles deswegen noch lange nicht

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Sindelfingen
  2. über experteer GmbH, Raum Sindelfingen
  3. Rail Power Systems GmbH, Offenbach
  4. WBS GRUPPE, deutschlandweit (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...
  2. 31,99€
  3. 139,00€ (Bestpreis!)
  4. (aktuell u. a. Speedlink Velator Gaming-Tastatur für 9,99€, Deepcool New Ark Gehäuse für 249...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
Astrobiologie
Woher kommen das Leben, das Universum und der ganze Rest?

Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
Von Miroslav Stimac

  1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
  2. Astronomie Forscher entdeckten uralte Galaxien
  3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
    Manipulierte Zustimmung
    Datenschützer halten die meisten Cookie-Banner für illegal

    Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
    2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
    3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

    1. Wirtschaftsförderung: Agentur für Sprunginnovationen kommt nach Leipzig
      Wirtschaftsförderung
      Agentur für Sprunginnovationen kommt nach Leipzig

      Nach dem Vorbild der Darpa will die Bundesregierung künftig innovative Projekte fördern. Damit erhält bereits die zweite Innovationsagentur des Bundes ihren Sitz in Ostdeutschland.

    2. UPC: Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein
      UPC
      Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein

      Bei UPC wird noch in diesem Monat 1 GBit/s im gesamten Netz angeboten, was in Deutschland noch keiner aus der Kabelnetz-Branche geschafft hat. Auch Sunrise baut sein 5G-Angebot als Glasfaser-Ersatz aus.

    3. Intel-Prozessor: Core i9-9900KS tritt mit 127 Watt TDP an
      Intel-Prozessor
      Core i9-9900KS tritt mit 127 Watt TDP an

      Acht Kerne mit bis zu 5 GHz für alle: Der Core i9-9900KS erscheint im Oktober 2019 und wird die vorerst schnellste Gaming-CPU. Erste Firmware-Updates zeigen, dass Intel die nominelle Verlustleistung von 95 Watt auf 127 Watt anhebt. Für vollen Takt wird das aber nicht reichen.


    1. 18:11

    2. 17:51

    3. 15:54

    4. 15:37

    5. 15:08

    6. 15:00

    7. 14:53

    8. 14:40