Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 01:48

    Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

    - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

    - Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

    - Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

    - Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

    Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.

  2. Re: Das Problem mit den Zertifikaten

    Autor: bifi 24.12.17 - 11:30

    Soweit ich das auch verstanden habe war vor allem das Problem, dass sich aus der beA Software der private Schlüssel des Zertifikats extrahieren lässt. Zusammen mit der Tatsache dass das Root Zertifikat als Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    Genau DAS ist das Problem.

    Wenn es hier tatsächlich nur um einen lokalen Webserver geht: dann ist die Frage berechtigt, warum man hier überhaupt https benötigt. Der Server muss nur soweit konfiguriert werden, dass er keine Verbindungen von außen annimmt.

  3. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 19:47

    bifi schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das auch verstanden habe war vor allem das Problem, dass sich
    > aus der beA Software der private Schlüssel des Zertifikats extrahieren
    > lässt. Zusammen mit der Tatsache dass das Root Zertifikat als
    > Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine
    > Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    > Genau DAS ist das Problem

    Dass sich der private Schlüssel extrahieren lässt ist aufgrund der Tatsache dass das Teil eben einen lokalen Webserver installiert technisch nicht zu umgehen, wie soll das sonst funktionieren

    Aber dass a) das CA-Flag gesetzt ist und b) auf allen Installationen das gleiche Zerifikat benutzt wird sollte eigentlich unter Strafe stehen

  4. Re: Das Problem mit den Zertifikaten

    Autor: Apfelbrot 24.12.17 - 20:56

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und
    > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die
    > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.

    Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung von wegen Logindaten und kein HTTPS...

  5. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 21:11

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Spoth schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe,
    > und
    > > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er
    > die
    > > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.
    >
    > Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung
    > von wegen Logindaten und kein HTTPS...

    Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client und Server ohnehin nur auf localhost laufen sollen

    Die Antwort ist weil es dann nicht irgendein umgeschulter Hausmeister zusammen stümpern hätte können und wie man sieht auch nicht sollen hätte

    Mein Job ist Webentwickler, aber deswegen bin ich nicht so dumm zu glauben das alles in den Browser gehört

  6. Re: Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 23:54

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum
    > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client
    > und Server ohnehin nur auf localhost laufen sollen

    Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS mit und ist eigentlich eine Webpplikation. Electron nennt sich das Framework: https://electronjs.org/apps

  7. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 25.12.17 - 03:01

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > LearnYourJob schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist
    > warum
    > > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn
    > Client
    > > und Server ohnehin nur auf localhost laufen sollen
    >
    > Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS
    > mit und ist eigentlich eine Webpplikation. Electron nennt sich das
    > Framework: electronjs.org

    Macht es das besser?

    Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen Netzwerken bilden zu lassen, aus der Schule rauszukommen ohne einen geraden Satz formulieren zu können (Wenn ich die ganzen Trottel mit ihrem "nen" als einzigen geläufigen Artikel schon lese) aber gut ist das alles deswegen noch lange nicht

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DIEBOLD NIXDORF, Ilmenau
  2. Hays AG, Frankfurt am Main
  3. Landwirtschaftliche Rentenbank, Frankfurt am Main
  4. TenneT TSO GmbH, Bayreuth

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. 245,90€ + Versand
  4. 159,90€ + Versand (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Elektromobilität: Wohin mit den vielen Akkus?
Elektromobilität
Wohin mit den vielen Akkus?

Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
Ein Bericht von Dirk Kunde

  1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
  2. Batterieherstellung Kampf um die Zelle
  3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
DIN 2137-T2-Layout ausprobiert
Die Tastatur mit dem großen ß

Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
Von Andreas Sebayang und Tobias Költzsch

  1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
  2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
  3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

  1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
    Videostreaming
    Netflix und Amazon Prime Video locken mehr Kunden

    Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

  2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
    Huawei
    Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

    Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

  3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
    TV-Serie
    Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

    Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


  1. 12:24

  2. 12:09

  3. 11:54

  4. 11:33

  5. 14:32

  6. 12:00

  7. 11:30

  8. 11:00