Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency: Betrug mit…

Wie genau werden "böse" Zertifikate jetzt von den Browsern erkannt ?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie genau werden "böse" Zertifikate jetzt von den Browsern erkannt ?

    Autor: pointX 25.10.16 - 18:46

    Nehmen wir einmal an, dass eine CA für die Geheimdienste ein Zertifikat für MITM-Zwecke hinter dem Transparency-System herum erstellt.

    Wie erkennt jetzt der Browser des Opfers, dass das Zertifikat böse ist ?

    Wird bei jedem Verbindungsaufbau geprüft, ob das Zertifikat auch in der Transparency-Liste drin ist ?
    Wenn ja, ist diese Transparency-Liste dann nicht ein "Super-Benutzer-Tracker" ?
    Kann ich mir irgendwie nicht vorstellen.

  2. Re: Wie genau werden "böse" Zertifikate jetzt von den Browsern erkannt ?

    Autor: ikhaya 25.10.16 - 19:00

    Wenn das Zertifikat keinen Stempel von 2 Logservern hat dass es registriert wurde verbindet der Browser nicht, insofern kommst du nicht "hinten rum" am Log vorbei.

  3. Re: Wie genau werden "böse" Zertifikate jetzt von den Browsern erkannt ?

    Autor: RipClaw 25.10.16 - 19:04

    pointX schrieb:
    --------------------------------------------------------------------------------
    > Nehmen wir einmal an, dass eine CA für die Geheimdienste ein Zertifikat für
    > MITM-Zwecke hinter dem Transparency-System herum erstellt.
    >
    > Wie erkennt jetzt der Browser des Opfers, dass das Zertifikat böse ist ?
    >
    > Wird bei jedem Verbindungsaufbau geprüft, ob das Zertifikat auch in der
    > Transparency-Liste drin ist ?

    Nur beim ersten Verbindungsaufbau. Der Browser merkt sich das dann das das Zertifikat existiert und fragt beim nächsten mal nicht mehr nach.

    > Wenn ja, ist diese Transparency-Liste dann nicht ein
    > "Super-Benutzer-Tracker" ?

    Nicht unbedingt. Es kommt drauf an was abgefragt wird. Normalerweise wird der Fingerprint abgefragt und nicht die Domain oder gar die URL.

    Klar kann man dann im Nachhinein nachgucken nach welchem Zertifikat gesucht wurde aber wenn es ein Multidomain Zertifikat oder aber ein Wildcard Zertifikat ist dann weiß man nicht für welche Domain die Abfrage war.

    Und wie schon zuvor gesagt erfolgt die Abfrage nur einmal und somit als Tracker kaum brauchbar.

    > Kann ich mir irgendwie nicht vorstellen.

    Im Grunde wird das gleiche aktuell mit OCSP gemacht. Da wird dann auch geprüft ob Zertifikat XY noch gültig ist.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  2. ERGO Group AG, Düsseldorf
  3. Versicherungskammer Bayern, München
  4. DIS AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 245,90€ + Versand
  2. 309,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

Webbrowser: Das Tracking ist tot, es lebe das Tracking
Webbrowser
Das Tracking ist tot, es lebe das Tracking

Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
Eine Analyse von Sebastian Grüner

  1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
  2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
  3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


    1. Mobilfunkinfrastrukturgesellschaft (MIG): Bundeseigene Mastengesellschaft aufgestellt
      Mobilfunkinfrastrukturgesellschaft (MIG)
      Bundeseigene Mastengesellschaft aufgestellt

      Eine Mobilfunkinfrastrukturgesellschaft soll schnell Masten errichten, um Funklöcher zu schließen. Das haben die Fraktionsvorstände von SPD und CDU/CSU beschlossen. Der marktwirtschaftlich getriebene Ausbau habe einen Mobilfunk-Flickenteppich geschaffen.

    2. AVG: Antivirus-Software beschädigt Passwortspeicher im Firefox
      AVG
      Antivirus-Software beschädigt Passwortspeicher im Firefox

      Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren. Diese können aber wiederhergestellt werden.

    3. Gamestop: Nerd-Versandhandel Thinkgeek hört auf
      Gamestop
      Nerd-Versandhandel Thinkgeek hört auf

      Der vor allem für seine teils obskuren Produkte bekannte Online-Versandhandel Thinkgeek stellt seinen Betrieb ein. Eine kleine Auswahl der Produkte soll weiter bei der Muttergesellschaft Gamestop erhältlich sein.


    1. 14:32

    2. 12:00

    3. 11:30

    4. 11:00

    5. 10:20

    6. 18:21

    7. 16:20

    8. 15:50