Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Authority: Comodo gehört…

Sehe ich jetzt gar nicht mal so kritisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Sehe ich jetzt gar nicht mal so kritisch

    Autor: Sharra 01.11.17 - 20:44

    Es liest sich, auf den ersten Blick, wie der GAU. Die gleiche Muttergesellschaft, deren Tochter Zertifikate erteilt, vertreibt auch Überwachungsmalware.

    Wenn man aber darüber nachdenkt, kommt man zu dem Schluss, dass diese Gesellschaft ja in erster Linie Geld verdienen will. Stellt jetzt Komodo kompromittierte Zertifikate aus, um das Trojanergeschäft anzukurbeln, verliert, nach Bekanntwerden, Komodo schlagartig das Vertrauen, und den Wert. Wirtschaftlich kann man sich das nicht erlauben.

    Gefährlich könnte nur sein, dass der Mutterkonzern sich selbst damit erpressbar macht.

  2. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: tingelchen 01.11.17 - 22:44

    Das Vertrauen ist auch jetzt schon im Eimer. Das Geschäft einer Zertifizierungsstelle hat als Grundbaustein "Vertrauen". Die Herstellung von Schadsoftware ist jedoch das exakte Gegenteil. Da es die Sicherheit der IT bewusst unterwandert. Es sind zwei Geschäftszweige die sich gegenseitig Ausschließen.

    Ich kann nur jedem raten, der Zertifikate von Comodo hat, diese umgehend aus zu tauschen.

    Generell kann man Firmen und deren Eigentümer in keinster weise trauen, welche Schadsoftware herstellen. Es sind genau jene Personen die uns das Leben digital zur Hölle machen. Da sie Löcher nicht melden, sondern bewusst ausnutzen um diese an den erst besten Kunden zu verkaufen.

  3. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: ibecf 02.11.17 - 02:24

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Generell kann man Firmen und deren Eigentümer in keinster weise trauen,
    > welche Schadsoftware herstellen. Es sind genau jene Personen die uns das
    > Leben digital zur Hölle machen. Da sie Löcher nicht melden, sondern bewusst
    > ausnutzen um diese an den erst besten Kunden zu verkaufen.

    Bin ich der einzeitigste der bei diesem Absatz spontan an Microsoft und Windows als Schadsoftware gedacht hat "die uns das Leben digital zur Hölle machen" ? :D :D



    2 mal bearbeitet, zuletzt am 02.11.17 02:25 durch ibecf.

  4. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: simon_moon 02.11.17 - 03:34

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Das Vertrauen ist auch jetzt schon im Eimer.

    "Vertrauen" ist hier wohl mittlerweile auch eher relativ. Gem. wiki haben Symantec und Comodo zusammen ~2/3 Marktanteil. Und wie Symantec mit Zertifikaten umgeht, hatten wir ja bereits. Bei dieser Marktmacht spielt es dann auch nicht mehr wirklich eine Rolle ob man vertraut - da gilt dann halt eher "friss oder stirb".

    Insofern ist es aber durchaus ein genialer Schachzug, wie bei der Entwicklung nun "Verschlüsselung" und "Vertrauen" zusammengemixt wurden,obwohl das zwei ganz verschiedene Dinge sind. Ich weiss zwar nun sicher, dass die Verbindung zu der Seite, die ich aufrufe verschlüsselt ist, aber ob es auch wirklich diese Seite ist, welche ich aufrufen will, muss ich letztendlich einer einzelnen CA vertrauen.

    Dabei ist dieses Vertrauen in eine Authorität eigentlich gar nicht notwendig. Auch wenn es gerne ein Buzzword ist - aber genau hier könnte die Blockchain abhilfe schaffen. Wenn die Zertifikate dezentral gespeichert sind, kann ich auf die Öffentlichkeit vertrauen, statt auf eine einzelne Authorität.

    Einen anderen Ansatz verfolgt dann etwa Tor. Dort sind die "Zertifikate" direkt in der Onion-Domain, welche (in der neusten Version 3) auch gleich der Public-Key ist. Somit kann ich auch sicher sein, dass wenn ich diese Domain besuche, ich auch wirklich auf dieser Domain lande und nicht ein Klon das Zertifikat von der CA bekommen hat. Natürlich ist es etwas unschön, eine kryptische Domain aus 56 Ziffern einzutippen und es kann auch eher passieren, dass ich die Domain mit einer ähnlichen verwechsle - aber die Kontrolle liegt dafür bei mir und ich bin nicht von Vertrauen abhängig. Facebook hat es zudem z.b. geschaft, zu der Onion Domain auch noch ein Zertifikat zu erhalten - das dann man im Prinzip dann auch vice versa machen, also das eine Webseite sich zu ihrer normalen TLD noch eine Onion Domain besorgt. Dingledine hat dazu ein paar spannende Vorträge gehalten.

    tl;dr Vertrauen in Authoritäten ist gut, Kontrolle worauf man zugreift ist besser.

  5. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: Schläfer 02.11.17 - 06:31

    Und wie kannst du darauf vertrauen das die Internetseite, die du aufrufst, auch die richtige ist ohne irgendjemanden zu vertrauen?
    Woher kommt das Vertrauen in eine Blockchain, die dir jemand gibt, dem du nicht vertrauen willst?
    Wer garantiert dir, dass die onion-Adresse du du eintippst die richtige ist, wenn sie von einer anderen Seite stammt, der du vielleicht nicht vertrauen kannst.
    Wie kann man davon ausgehen, dass etwas kontrolliert wird, wenn man es selbst nicht kann und alle anderen nicht vertrauenswürdig sind?

    Und das Internet ist ja auch nicht gerade persönlich. Alle Daten gehen über verschiedene Knoten, wo sie manipuliert werden können.
    Wenn mehrere Leute draufschauen ist das gut, weil man bei Abweichungen weiß das etwas nicht stimmt. Aber nur weil das nicht passiert, heißt das nicht das alles in Ordnung ist.

    tl;dr Ohne Vertrauen geht garnichts.

    PS: Kann man eigentlich die Schlüssel doppelt zertifizieren(?) lassen. Also das man bei unterschiedlichen Stellen nachprüfen kann, ob der Schlüssel echt ist.

  6. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: chefin 02.11.17 - 14:10

    Schlüssel sind immer echt. Die Frage ist, ob derjenige der sie dir schickt, dazu berechtigt ist. Beim Nachprüfen stösst man auf das selbe Problem, derjenige der die Schlüssel falsch anlegt trickst auch die Überprüfung aus.

    Was du vieleicht meist, wäre, das man 2 Zertifikate kombiniert und nur dann Gültigkeit erreicht. Und dann geschickt seine Aussteller so wählt, das die Wahrscheinlichkeit das die zusammen arbeiten gering ist.

    Ansonsten spielt Vertrauen auf Endbenutzerseite keine Rolle. Du vertraust dem Webseitenanbieter und DER ist es der das Zertifikat auswählt. Du musst dem Zertifikat trauen, weil du keine Wahlmöglichkeit hast. Wählen kann nur der Webanbieter. Und der sieht Dinge aus ganz anderen Blickwinkeln. Das einzige was du kannst: NICHT diese Seite nutzen. Meist keine Alternative die man möchte.

    Deswegen ist es eigentlich schon lange egal, ob man Verschlüsselung benutzt oder nicht. Einfache Hacker und Kriminelle kommen eh nicht an die Daten ran bei den Providern bzw deren Routern. Und Provider die rankommen, kommen auch an Fälschungen ran die helfen dich in Sicherheit zu wiegen.

  7. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: tingelchen 02.11.17 - 14:44

    Die Marktposition spielt bei einer CA glücklicherweise keine Rolle. Da Zertifikate nur eine Information sind. Entgegen zum Windows (welches hier angeführt wurde) das Software ausführt und daher man bei entsprechender Marktposition (Quasi Monopol im Desktop Markt) nicht um ein Windows herum kommt.

    Aber ob die Information nun von einem Windows, Android, MacOS, Linux, OpenBSD oder sonst was verarbeitet wird, ist unerheblich. Entgegen z.B. zum Browser. Den es z.B. nicht für OpenBSD gibt.

    Daher kann man sich als Betreiber jede CA aussuchen und das vollkommen unabhängig von deren Marktposition. Es geht hierbei auch weniger um das Vertrauen des Endbenutzers. Dieser kann eh nicht beeinflussen ob die Seite nun Verschlüsselt ist oder nicht, oder von welcher CA das Zertifikat stammt. Er kann sich nur entscheiden, ob er die Seite benutzt, oder eben nicht. Entgegen zum Betreiber, welcher sich die CA aussuchen kann.

  8. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: RipClaw 02.11.17 - 15:05

    simon_moon schrieb:
    --------------------------------------------------------------------------------

    > Dabei ist dieses Vertrauen in eine Authorität eigentlich gar nicht
    > notwendig. Auch wenn es gerne ein Buzzword ist - aber genau hier könnte die
    > Blockchain abhilfe schaffen. Wenn die Zertifikate dezentral gespeichert
    > sind, kann ich auf die Öffentlichkeit vertrauen, statt auf eine einzelne
    > Authorität.

    Einen Ansatz mit einer Art von Blockchain fährt Google mit seinem Certificate Transparency. Dabei werden alle neu ausgestellten Zertifikate in ein oder mehrere kryptographisch gesicherte Logs, ähnlich einer Blockchain, eingetragen.

    Ziel des ganzen ist es das letztendlich jede CA jedes neu ausgestellte Zertifikat in mehrere öffentliche Logs schreibt.

    Diese Logs bietet zwei Möglichkeiten.

    Zum einen kann man automatisch überwachen ob neue Zertifikate für die eigenen Domains ausgestellt wurden und wer das gemacht hat.

    Und zum zweiten kann man beim Verbindungsaufbau zu einer Domain prüfen ob das Zertifikat in das Log eingetragen wurde ähnlich wie das bei OCSP gemacht werden sollte. Wurde das Zertifkat nicht eingetragen wird eine entsprechende Meldung ausgegeben.

  9. Re: Sehe ich jetzt gar nicht mal so kritisch

    Autor: logged_in 02.03.18 - 09:28

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Ich kann nur jedem raten, der Zertifikate von Comodo hat, diese umgehend
    > aus zu tauschen.

    Und eine Annulierung des Zertifikats beantragen... sonst kann es ja für die ganze Restlaufzeit noch verwendet werden. Wobei, wenn sie eins brauchen, stellen sie es sich selbst aus...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wirecard Technologies GmbH, Aschheim bei München
  2. VRmagic Holding AG, Mannheim
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-56%) 19,99€
  2. 12,99€
  3. 32,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Linux-Gaming: Steam Play or GTFO!
Linux-Gaming
Steam Play or GTFO!

Meine ersten Gaming-Eindrücke nach dem Umstieg von Windows auf Linux sind dank Steam recht positiv gewesen: Doch was passiert, wenn ich die heile Steam-(Play-)Welt verlasse und trotzdem Windows-Spiele unter Linux starten möchte? Meine anfängliche Euphorie weicht Ernüchterung.
Ein Praxistest von Eric Ferrari-Herrmann

  1. Project Mainline und Apex Google bringt überall Android-Updates, außer am Kernel
  2. Ubuntu Lenovo bietet Laptops mit vorinstalliertem Linux an
  3. Steam Play Tschüss Windows, hallo Linux - ein Gamer zieht um

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.

  1. Satellitennavigation Galileo ist wieder online

  1. Equiano: Googles Seekabel erschließt abgelegene Südatlantikinsel
    Equiano
    Googles Seekabel erschließt abgelegene Südatlantikinsel

    Das Equiano-Seekabel von Google wird einen Abzweig an die Insel St. Helena machen. Doch die Kapazität übersteigt den Eigenbedarf bei weitem, weshalb die Saints zahlende Mitbenutzer suchen: Satellitenbetreiber.

  2. Gipfeltreffen: US-Konzerne wollen schnelle Antworten zu Huawei-Lizenzen
    Gipfeltreffen
    US-Konzerne wollen schnelle Antworten zu Huawei-Lizenzen

    Die Chefs von Cisco Systems, Intel, Broadcom, Qualcomm, Micron Technology, Western Digital und Google wollen endlich Klarheit zu Huawei. US-Präsident Donald Trump hat am Montag eine schnelle Bearbeitung von Anträgen auf Lieferungen an Huawei zugesagt.

  3. Automated Valet Parking: Daimler und Bosch dürfen autonom parken
    Automated Valet Parking
    Daimler und Bosch dürfen autonom parken

    In Stuttgart können Besucher ohne Begleitung das automatisierte Parken eines Mercedes ausprobieren: Daimler und Bosch haben die Freigabe für das Automated Valet Parking erhalten.


  1. 19:25

  2. 17:38

  3. 17:16

  4. 16:30

  5. 16:12

  6. 15:00

  7. 15:00

  8. 14:30