1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browserhersteller: Firefox und Chrome…

Self-signed nicht als Gefahr darstellen

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Self-signed nicht als Gefahr darstellen

    Autor: Seitan-Sushi-Fan 06.03.15 - 15:21

    Wer Zertifikate des chinesischen Informationsministeriums als vertrauenswürdig einstuft, kann das auch bei self-signed Zertifikaten machen.

  2. Re: Self-signed nicht als Gefahr darstellen

    Autor: Schattenwerk 06.03.15 - 15:35

    Genau, damit Man in the middle-Angriff mit eigenen Zertifikaten auf Google, Microsoft, Banken, usw. problemlos möglich sind!

  3. Re: Self-signed nicht als Gefahr darstellen

    Autor: TheUnichi 06.03.15 - 15:41

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Genau, damit Man in the middle-Angriff mit eigenen Zertifikaten auf Google,
    > Microsoft, Banken, usw. problemlos möglich sind!

    Naja, man muss es zumindest nicht als "ACHTUNG IN 10 SEKUNDEN EXPLODIERT IHR COMPUTER WENN SIE DIE SEITE NICHT SOOOOOOFORT VERLASSEN" darstellen, sondern als "Eingeschränkt verifiziert", Gelb, ohne "Sind sie sich sicher? Sind sie sich wirklich sicher? Sind sie sich wirklich, wirklich, wirklich sicher?"

    Self-signed certs sind Gang und Gebe, das kann man nicht einfach ignorieren.
    Trotz self-signed ist es immer noch verschlüsselt, und darum geht es.

  4. Re: Self-signed nicht als Gefahr darstellen

    Autor: Lord LASER 06.03.15 - 15:43

    Und wer sagt dir ob das self-signed Zertifikat nicht vom chinesischen Informationsministerium ist?

    Wer jedes Zertifikat akzeptiert kann verschlüsseln auch gleich ganz sein lassen.

  5. Re: Self-signed nicht als Gefahr darstellen

    Autor: DASPRiD 06.03.15 - 15:51

    Bald geht ja https://letsencrypt.org/ an den Start.

  6. Re: Self-signed nicht als Gefahr darstellen

    Autor: Itchy 06.03.15 - 15:54

    Lord LASER schrieb:
    --------------------------------------------------------------------------------
    > Wer jedes Zertifikat akzeptiert kann verschlüsseln auch gleich ganz sein
    > lassen.

    Du weißt aber, dass X.509 und TLS zwei unterschiedliche Paar Stiefel sind, ja?

    Verschlüsselung ist eine feine Sache. Zertifikate dagegen sind eine Seuche, der man mit Geschichten wie Public Key Pinning etc. versucht entgegen zu wirken. Das sind aber leider auch nur Notlösungen.

  7. Re: Self-signed nicht als Gefahr darstellen

    Autor: ConiKost 06.03.15 - 15:55

    DASPRiD schrieb:
    --------------------------------------------------------------------------------
    > Bald geht ja letsencrypt.org an den Start.

    Ziemlich nutzlos, weil kein Wildcard fürs erste möglich sein wird.

    "Support for wildcards will most likely not be part of our initial offering."

  8. Re: Self-signed nicht als Gefahr darstellen

    Autor: babelfish 06.03.15 - 16:01

    Lord LASER schrieb:
    --------------------------------------------------------------------------------
    > Und wer sagt dir ob das self-signed Zertifikat nicht vom chinesischen
    > Informationsministerium ist?

    Was spielt das für eine Rolle? Dein Browser vertraut der CA der chinesischen Regierung sowieso. Wenn die dich per MITM angreifen wollen machen die das bestimmt nicht mit einem Self-signed Zertifikat sondern nehmen einfach ein gültiges...



    1 mal bearbeitet, zuletzt am 06.03.15 16:01 durch babelfish.

  9. Re: Self-signed nicht als Gefahr darstellen

    Autor: katzenpisse 06.03.15 - 16:03

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > Naja, man muss es zumindest nicht als "ACHTUNG IN 10 SEKUNDEN EXPLODIERT
    > IHR COMPUTER WENN SIE DIE SEITE NICHT SOOOOOOFORT VERLASSEN" darstellen,
    > sondern als "Eingeschränkt verifiziert",

    Sie sind erstmal garnicht verifiziert, sondern man muss sie als Nutzer selbst verifizieren.

    > Self-signed certs sind Gang und Gebe, das kann man nicht einfach
    > ignorieren.
    > Trotz self-signed ist es immer noch verschlüsselt, und darum geht es.

    Nein, bei den Zertifikaten geht es darum das sich der Webserver gegenüber dem Nutzer verifiziert.

  10. Re: Self-signed nicht als Gefahr darstellen

    Autor: Lord LASER 06.03.15 - 16:11

    Nein, X.509 Zertifikate gehören zu SSL/TLS. Du kannst kein TLS machen ohne Zertifikate.

    Zertifkate sind wunderbar. Das Problem ist das hierarchische Vertrauensmodell. Aber das ist seit Jahrzehnten bekannt. Das ändert aber nichts daran dass Self-Signed Zertifikate keinerlei Sicherheit bieten. Aussert du prüfst jeden davon von Hand und beschränkst die Nutzung.

  11. Re: Self-signed nicht als Gefahr darstellen

    Autor: Geistesgegenwart 06.03.15 - 16:15

    Lord LASER schrieb:
    --------------------------------------------------------------------------------
    > Nein, X.509 Zertifikate gehören zu SSL/TLS. Du kannst kein TLS machen ohne
    > Zertifikate.
    >

    Aber weder über HTTP/1.1 noch über HTTP/2.0 was ein großes Problem ist. In HTTP bis inkl 2.0 ist leider Verschlüsselung und Authentisierung zwingend miteinander gekoppelt, was nicht sein müsste. Die beiden Parteien könnnten Sitzungsschlüssel vereinbaren ganz ohne Zertifikate. Zumindest ist dann die Datenübertragung nicht mithörbar in offenen WLANs etc. MITM lässt sich zwar nicht ausschliessen, dem könnte man aber mit Key-Pinning entgegenwirken genauso wie es auch bei SSH gemacht wird (du vertraust einem Schlüssel das erste mal in einer vertrauenswürdigen Umgebung und warnst wenn sich dann der Schlüssel bzw. die Signatur ändert).

    Key/Cert Pinning ist übrigens sowieso angeraten, auch bei HTTP.

  12. Re: Self-signed nicht als Gefahr darstellen

    Autor: Lord LASER 06.03.15 - 16:16

    Vergleiche:
    - Anzahl Leute die ein gültiges Zertifikat missbrächlich ausstellen können
    - Anzahl Leute die ein Self-Signed Zertifikat ausstellen können

    Und ja, Missbrauch wird IMMER möglich sein.

  13. Re: Self-signed nicht als Gefahr darstellen

    Autor: Ironman 06.03.15 - 16:16

    Prinzipiell stimmt es natürlich das von self-signed erstmal keine "Gefahr" ausgeht. Die verbindung ist zwar verschlüsselt kann aber wie bei normalem http auch von jemand anders kommen. Normales HTTP ist ja plötzlich auch nicht gefährlich geworden.

    Derjenige der welche einsetzt, eventuell sogar seine eigene CA eingerichtet hat, fügt Zertifikat einfach seiner Keychain hinzu und ist kompetent genug das ganze auch zu verifizieren.
    Ihm ist es also egal wie auffällig sich der Browser etc. meldet wenn ers noch nicht gemacht hat.

    Aber (großes Aber !) 99 % + der Leute sind keine Sysadmins und deswegen dazu nicht in der Lage, weswegen es trotzdem gut alles was nicht "grün" ist als gefährlich darzustellen.

  14. Re: Self-signed nicht als Gefahr darstellen

    Autor: katzenpisse 06.03.15 - 16:28

    Ironman schrieb:
    --------------------------------------------------------------------------------
    > Derjenige der welche einsetzt, eventuell sogar seine eigene CA eingerichtet
    > hat, fügt Zertifikat einfach seiner Keychain hinzu und ist kompetent genug
    > das ganze auch zu verifizieren.

    Muss er ja nicht mehr verifizieren, er hat's ja gerade selbst erstellt und wird sich ja wohl selbst vertrauen :-D

  15. Re: Self-signed nicht als Gefahr darstellen

    Autor: Lord LASER 06.03.15 - 16:31

    Jein. Sagen wir mal ein Computerverein betreibt eine Website. Die haben eine eigene CA erstellt. Ich importiere jetzt deren Zertifikat in meinen Stammzertifikatsspeicher. So weit so gut.

    Allerdings kann jeder vom Verein, der Zugang zum geheimen Schlüssel des Root-Zertifikats hat, Man-in-the-Middle Attacken durchführen. Es geht also sehr wohl eine Gefahr aus.

  16. Re: Self-signed nicht als Gefahr darstellen

    Autor: Schnarchnase 06.03.15 - 17:02

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > Sie sind erstmal garnicht verifiziert, sondern man muss sie als Nutzer
    > selbst verifizieren.

    Richtig. Wo ist jetzt der Unterschied zu dem Großteil aller anderen Zertifikate? Eine Mail mit einem Link drin ist doch keine ernsthafte Überprüfung.

    Das ganze Zertifikatsystem ist kaputt. Das einzige was da funktioniert ist das Kohlescheffeln.

  17. Re: Self-signed nicht als Gefahr darstellen

    Autor: tingelchen 06.03.15 - 17:19

    > Sie sind erstmal garnicht verifiziert, sondern man muss sie als Nutzer selbst
    > verifizieren.
    >
    Was bei den anderen Zertifikaten exakt das gleiche ist. Der Unterschied besteht lediglich darin das der Public Key der CA mit dem Browser ausgeliefert wird und deine nicht. Davon ab, hängt es von der Anwendung ab, ob diese das Zertifikat nun wirklich prüft, oder eben nicht. Die meisten prüfen lediglich gegen die Zertifikatsliste, welche sie besitzen und beenden dann die Prüfung.

    Self Signed ist nicht per Definition unsicher. Es macht auch einen Man in the Middle nicht einfacher als bei anderen Zertifikaten. Jeder der sich seine eigenen Zertifikate bastelt, hat in der Regel auch eine kleine eigene CA. Nimm den Public Key deines CA Zertifikates, importiere die in deinem Browser, erstelle ein neues Zertifikat das du mit deiner CA signierst und dein Browser wird das Zertifikat anstandslos akzeptieren.

    Die größte Gefahr bei eigenen Zertifikaten ist, das man falsche Einstellungen benutzt und so ein angreifbares Zertifikat erzeugt.

  18. Re: Self-signed nicht als Gefahr darstellen

    Autor: tingelchen 06.03.15 - 17:24

    > Das ganze Zertifikatsystem ist kaputt.
    >
    Kaputt ist es nicht wirklich. Das Problem ist nur das die Public Keys an der falschen Stelle abgelegt werden. Sie müssten eigentlich als Eintrag im DNS Server abgelegt werden. So müssten die Anwendungen dann auch nicht eigene Listen mit führen, um die ganze Zertifikatskette überprüfen zu können.

  19. Re: Self-signed nicht als Gefahr darstellen

    Autor: Schnarchnase 06.03.15 - 17:31

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Kaputt ist es nicht wirklich.

    Doch ist es. Man kann eben keiner einzigen CA vertrauen, darum ist das System wie wir es jetzt haben Quatsch.

    > Das Problem ist nur das die Public Keys an
    > der falschen Stelle abgelegt werden. Sie müssten eigentlich als Eintrag im
    > DNS Server abgelegt werden. So müssten die Anwendungen dann auch nicht
    > eigene Listen mit führen, um die ganze Zertifikatskette überprüfen zu
    > können.

    Du willst auf DANE hinaus? Ja genau so wäre es richtig, das ist aber ein komplett anderes System, denn bei DANE braucht man keine CAs, im DNS-Record steht welchen Zertifikaten vertraut werden kann.

  20. Re: Self-signed nicht als Gefahr darstellen

    Autor: tingelchen 06.03.15 - 17:34

    Diese Gefahr besteht aber bei allen Zertifikaten. Denn bei allen liegt irgendwo der Private Key der CA herum, auf den irgendwelche fremden Menschen Zugriff haben. Das geht ja auch gar nicht anders. Denn ohne den Private CA kann man keine neuen Zertifikate signieren ^^

    Aber davon ab. Wenn der Angreifer eh schon Zugriff auf den Server, auf Root Ebene, hat, dann brauch er auch keine MitM Attacke mehr ausführen, sondern kann sich die Daten direkt vom Server ziehen.

    MitM Attack werden ausgeführt, weil man eben nicht direkten Zugriff hat und sich damit den schwächeren Punkt aussucht. Nämlich die Kommunikationsstrecke. Genau hier sollen die Zertifikate ja absichern.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP S4 HANA / ABAP Developer (w/m/d)
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Absolvent (m/w/d) für die Softwareentwicklung
    Planets Software GmbH, Dortmund
  3. Senior Developer R&D Applications (f/md)
    Beiersdorf AG, Hamburg
  4. Referent Technik / Technische IT (m/w/d)
    Radeberger Gruppe KG, Frankfurt, Leipzig, Dortmund

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 389€ bei Bezahlung mit Amazon Pay (Vergleichspreis 427,90€)
  2. 73,50€ (Vergleichspreis 89,99€)
  3. 1.158,13€ (Vergleichspreis 1.499€)
  4. (aktuell u. a. PC-Spiele reduziert, z. B. Command & Conquer: Remastered Collection für 9,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de