Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 01:48

    Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

    - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

    - Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

    - Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

    - Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

    Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.

  2. Re: Das Problem mit den Zertifikaten

    Autor: bifi 24.12.17 - 11:30

    Soweit ich das auch verstanden habe war vor allem das Problem, dass sich aus der beA Software der private Schlüssel des Zertifikats extrahieren lässt. Zusammen mit der Tatsache dass das Root Zertifikat als Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    Genau DAS ist das Problem.

    Wenn es hier tatsächlich nur um einen lokalen Webserver geht: dann ist die Frage berechtigt, warum man hier überhaupt https benötigt. Der Server muss nur soweit konfiguriert werden, dass er keine Verbindungen von außen annimmt.

  3. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 19:47

    bifi schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das auch verstanden habe war vor allem das Problem, dass sich
    > aus der beA Software der private Schlüssel des Zertifikats extrahieren
    > lässt. Zusammen mit der Tatsache dass das Root Zertifikat als
    > Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine
    > Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    > Genau DAS ist das Problem

    Dass sich der private Schlüssel extrahieren lässt ist aufgrund der Tatsache dass das Teil eben einen lokalen Webserver installiert technisch nicht zu umgehen, wie soll das sonst funktionieren

    Aber dass a) das CA-Flag gesetzt ist und b) auf allen Installationen das gleiche Zerifikat benutzt wird sollte eigentlich unter Strafe stehen

  4. Re: Das Problem mit den Zertifikaten

    Autor: Apfelbrot 24.12.17 - 20:56

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und
    > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die
    > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.

    Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung von wegen Logindaten und kein HTTPS...

  5. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 21:11

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Spoth schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe,
    > und
    > > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er
    > die
    > > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.
    >
    > Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung
    > von wegen Logindaten und kein HTTPS...

    Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client und Server ohnehin nur auf localhost laufen sollen

    Die Antwort ist weil es dann nicht irgendein umgeschulter Hausmeister zusammen stümpern hätte können und wie man sieht auch nicht sollen hätte

    Mein Job ist Webentwickler, aber deswegen bin ich nicht so dumm zu glauben das alles in den Browser gehört

  6. Re: Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 23:54

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum
    > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client
    > und Server ohnehin nur auf localhost laufen sollen

    Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS mit und ist eigentlich eine Webpplikation. Electron nennt sich das Framework: https://electronjs.org/apps

  7. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 25.12.17 - 03:01

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > LearnYourJob schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist
    > warum
    > > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn
    > Client
    > > und Server ohnehin nur auf localhost laufen sollen
    >
    > Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS
    > mit und ist eigentlich eine Webpplikation. Electron nennt sich das
    > Framework: electronjs.org

    Macht es das besser?

    Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen Netzwerken bilden zu lassen, aus der Schule rauszukommen ohne einen geraden Satz formulieren zu können (Wenn ich die ganzen Trottel mit ihrem "nen" als einzigen geläufigen Artikel schon lese) aber gut ist das alles deswegen noch lange nicht

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Swyx Solutions GmbH, Linz, Wien, Salzburg (Österreich, Home-Office möglich)
  2. UDG United Digital Group, Ludwigsburg, Herrenberg, Karlsruhe, Mainz
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Öffentliche Versicherung Braunschweig, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 152,00€
  2. 79,00€
  3. 59,99€
  4. ab 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

  1. Quartalsbericht: Amazons Umsatz steigt nicht mehr so stark
    Quartalsbericht
    Amazons Umsatz steigt nicht mehr so stark

    Amazon macht im ersten Quartal 3,6 Milliarden US-Dollar Gewinn. Doch das Umsatzwachstum fällt von 43 auf 17 Prozent.

  2. Partner-Roadmap: Intel plant 10-nm-Desktop-Chips nicht vor 2022
    Partner-Roadmap
    Intel plant 10-nm-Desktop-Chips nicht vor 2022

    Roadmaps von Dell zufolge wird Intel in den kommenden Jahren primär das Mobile-Segment mit Prozessoren im 10-nm-Verfahren bedienen. Im Desktop-Bereich müssen Comet Lake und Rocket Lake mit zehn Kernen und 14 nm gegen AMDs Ryzen 3000/4000 mit 7(+) nm antreten.

  3. Mobilfunk: Nokia macht wegen 5G-Sicherheitsbedenken Verlust
    Mobilfunk
    Nokia macht wegen 5G-Sicherheitsbedenken Verlust

    Nokia kann von der US-Kampagne gegen Huawei nicht profitieren, sondern verbucht einen unerwarteten Verlust. Investitionen seien erforderlich, erklärte Konzernchef Rajeev Suri.


  1. 23:51

  2. 21:09

  3. 18:30

  4. 17:39

  5. 16:27

  6. 15:57

  7. 15:41

  8. 15:25