Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…

Das Problem mit den Zertifikaten

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 01:48

    Das man ursprünglich, für einen lokalen Webserver, ein von einer CA signiertes Zertifikat verteilt hat, erklärt sich mir mit dem überall vorhandenen Aberglauben, dass nur ein von einer CA signiertes Zertifikat sicher wäre. Bei security Audits sehe ich immer wieder, dass selbstsignierte Zertifikate, an egal welcher Stelle, als Sicherheitsproblem gemeldet werden. So hat man sich das wohl auch hier gedacht.

    - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die Daten auch einfach vor oder nach der Verschlüsselung abgreifen. Oder er braucht den Traffic überhaupt nicht mehr, da er ja schon auf dem System ist und auch so an alle Daten kommt die er haben will. Aber vielleicht möchte man dem User ein gutes Gefühl geben, dass der Browser ein grünes https Symbol anzeigt. Das würde ich sogar gelten lassen.

    - Ein von einer CA signiertes Zertifikat brauche ich nur dann, wenn ich keinen direkten vertrauenswürdigen Kontakt zu meinem Kommunikationspartner habe. Wenn ich mir selbst einen Webserver mit https aufsetze, und diesen selbst benutzen will, dann gibt es überhaupt keinen Grund dafür ein CA zertifiziertes Zertifikat zu kaufen und jedes Jahr dafür zu blechen. Die CAs leisten hier offenbar ganz gute Lobbyarbeit und verbreiten überall den Irrglauben, dass ein nicht von einer (teueren) CA signiertes Zertifikat irgendwie unsicher wäre.

    - Wenn ich einen Webserver aufsetze, den ein Partner nutzen soll, den ich persönlich kenne, dem ich mein Zertifikat auf sicherem Weg geben kann, dann bringt ein CA signiertes Zertifikat ebenfalls nichts als zusätzliche Kosten.

    - Einzig wenn ich einen Webserver für ein breites Publikum aufsetze, das mich nicht persönlich kennt, dann ist der Zweck eines CA signierten Zertifikates der, dass die CA meine Identität durch ihre Signatur bestätigt. Der Partner traut dann der CA, dass diese meine Identität anständig gesprüft hat. Wenn mir jemand, den ich kenne, sein Zertifikat in die Hand geben kann, dann ist die CA überflüssig. Ich weiss ja von wem das Zertifikat kommt.

    Der große Fehler bei beA ist der, dass jede beA Installation für ihren integrierten Webserver das gleiche Zertifikat benutzt. Und dass es dann auch noch, sinnloserweise, als CA Zertifikat installiert werden soll, das weitere Zertifikat beglaubigen darf, macht die ganze Sache ziemlich fatal. Offenbar fehlt hier jedes Verständnis für die Materie.

  2. Re: Das Problem mit den Zertifikaten

    Autor: bifi 24.12.17 - 11:30

    Soweit ich das auch verstanden habe war vor allem das Problem, dass sich aus der beA Software der private Schlüssel des Zertifikats extrahieren lässt. Zusammen mit der Tatsache dass das Root Zertifikat als Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    Genau DAS ist das Problem.

    Wenn es hier tatsächlich nur um einen lokalen Webserver geht: dann ist die Frage berechtigt, warum man hier überhaupt https benötigt. Der Server muss nur soweit konfiguriert werden, dass er keine Verbindungen von außen annimmt.

  3. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 19:47

    bifi schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das auch verstanden habe war vor allem das Problem, dass sich
    > aus der beA Software der private Schlüssel des Zertifikats extrahieren
    > lässt. Zusammen mit der Tatsache dass das Root Zertifikat als
    > Vertrauenswürdig installiert wurde lässt sich damit auch wunderbar eine
    > Man-in-the-Middle Attacke auf beliebige Adressen durchführen.
    > Genau DAS ist das Problem

    Dass sich der private Schlüssel extrahieren lässt ist aufgrund der Tatsache dass das Teil eben einen lokalen Webserver installiert technisch nicht zu umgehen, wie soll das sonst funktionieren

    Aber dass a) das CA-Flag gesetzt ist und b) auf allen Installationen das gleiche Zerifikat benutzt wird sollte eigentlich unter Strafe stehen

  4. Re: Das Problem mit den Zertifikaten

    Autor: Apfelbrot 24.12.17 - 20:56

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe, und
    > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er die
    > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.

    Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung von wegen Logindaten und kein HTTPS...

  5. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 24.12.17 - 21:11

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Spoth schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > - Wenn ich einen Webserver auf dem localhost meines Rechners betreibe,
    > und
    > > auf diesen vom gleichen System aus zugreife, dann braucht es erstens mal
    > > überhaupt kein https. Ist mein Rechner kompromittiert, so dass ein
    > > Angreifer den Traffic auf localhost mitschneiden könnte, dann kann er
    > die
    > > Daten auch einfach vor oder nach der Verschlüsselung abgreifen.
    >
    > Dann meckern dich aber die Browser mittlerweile an mit dieser Scheißmeldung
    > von wegen Logindaten und kein HTTPS...

    Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client und Server ohnehin nur auf localhost laufen sollen

    Die Antwort ist weil es dann nicht irgendein umgeschulter Hausmeister zusammen stümpern hätte können und wie man sieht auch nicht sollen hätte

    Mein Job ist Webentwickler, aber deswegen bin ich nicht so dumm zu glauben das alles in den Browser gehört

  6. Re: Das Problem mit den Zertifikaten

    Autor: Spoth 24.12.17 - 23:54

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist warum
    > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn Client
    > und Server ohnehin nur auf localhost laufen sollen

    Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS mit und ist eigentlich eine Webpplikation. Electron nennt sich das Framework: https://electronjs.org/apps

  7. Re: Das Problem mit den Zertifikaten

    Autor: LearnYourJob 25.12.17 - 03:01

    Spoth schrieb:
    --------------------------------------------------------------------------------
    > LearnYourJob schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die weit bessere Frage die im ganzen Kontext nicht gestellt wurde ist
    > warum
    > > dieses mit Verlaub Scheissteil überhaupt im Browser laufen muss wenn
    > Client
    > > und Server ohnehin nur auf localhost laufen sollen
    >
    > Ist das nicht heute total üblich? Jede 2. drecks App bringt einen NodeJS
    > mit und ist eigentlich eine Webpplikation. Electron nennt sich das
    > Framework: electronjs.org

    Macht es das besser?

    Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen Netzwerken bilden zu lassen, aus der Schule rauszukommen ohne einen geraden Satz formulieren zu können (Wenn ich die ganzen Trottel mit ihrem "nen" als einzigen geläufigen Artikel schon lese) aber gut ist das alles deswegen noch lange nicht

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. B&R Industrial Automation GmbH, Essen
  2. Schwarz Zentrale Dienste KG, Heilbronn
  3. Hays AG, Offenbach
  4. ABUS Security-Center GmbH & Co. KG, Affing

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 34,99€
  2. 45,99€ Release 04.12.
  3. 24,99€
  4. 19,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

  1. LTE-Probleme: Vorsicht beim Aufspielen von iOS 12.1.1
    LTE-Probleme
    Vorsicht beim Aufspielen von iOS 12.1.1

    Mit iOS 12.1.1 hat Apple in der vergangenen Woche ein Update für sein mobiles Betriebssystem veröffentlicht. Dieses verursacht bei einigen Nutzern Probleme mit der LTE-Funktion.

  2. Neue API-Lücke: Google+ macht noch schneller zu
    Neue API-Lücke
    Google+ macht noch schneller zu

    Googles Mutterkonzern Alphabet macht das soziale Netzwerk Google+ aufgrund eines neu entdeckten Fehlers in der API noch schneller zu als ursprünglich geplant. Nun soll schon im April 2019 Schluss sein.

  3. Überschallauto: Rekordfahrzeug Bloodhound SSC wird verkauft
    Überschallauto
    Rekordfahrzeug Bloodhound SSC wird verkauft

    Es sollte schneller fahren als jedes Auto zuvor und sogar schneller sein als der Schall. Es war aber langsamer als die Pleite: Das britische Bloodhound Project ist insolvent.


  1. 07:29

  2. 21:00

  3. 18:28

  4. 18:01

  5. 17:41

  6. 16:43

  7. 15:45

  8. 15:30