1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency: Symantec…

Let's encrypt

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Let's encrypt

    Autor: SJ 20.09.15 - 19:33

    *endlich haben will*

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  2. Re: Let's encrypt

    Autor: RipClaw 20.09.15 - 20:10

    SJ schrieb:
    --------------------------------------------------------------------------------
    > *endlich haben will*

    Dauert noch etwas. Neuer Termin ist um den 16. November rum.

  3. Re: Let's encrypt

    Autor: Iruwen 20.09.15 - 20:35

    Ändert an der grundsätzlichen Problematik auch nichts.

  4. Re: Let's encrypt

    Autor: RipClaw 20.09.15 - 21:52

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Ändert an der grundsätzlichen Problematik auch nichts.

    Und welche Lösung hättest du ? Ein "Web of Trust" taugt auch nichts da es nur so vertrauenswürdig ist wie das Mitglied dem man am wenigsten vertrauen kann.

    Das aktuelle CA System ist nicht perfekt aber was besseres haben wir im Moment nicht.
    Wenigstens hat der Vorfall gezeigt das Certificate Transparency funktioniert.

    DANE wäre noch eine schöne Möglichkeit zu verifizieren das ein Zertifikat zu einer Domain gehört aber im Moment wird es weder von Browsern unterstützt noch ist es weit verbreitet da auch die Unterstützung von DNSSec zu wünschen übrig lässt.

  5. Re: Let's encrypt

    Autor: Iruwen 21.09.15 - 12:16

    Ich sagte nicht, dass ich eine Lösung habe (DANE nanntest du ja schon, auf HTTPS beschränkt gibt es auch noch RFC 7469), nur dass Let's Encrypt nicht der Heilsbringer ist den sich einige offenbar versprechen.

  6. Re: Let's encrypt

    Autor: RipClaw 21.09.15 - 16:12

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Ich sagte nicht, dass ich eine Lösung habe (DANE nanntest du ja schon, auf
    > HTTPS beschränkt gibt es auch noch RFC 7469), nur dass Let's Encrypt nicht
    > der Heilsbringer ist den sich einige offenbar versprechen.

    Ein Heilsbringer nicht aber ein Game Changer auf jeden Fall.
    Kostenlose Zertifikate für alle und das mit einem Knopfdruck ist schon ein gewaltiger Fortschritt.

    Verschlüsselung sollte keine besondere Stellung haben sondern der Normalfall sein.
    Und bevor mir hier wieder einer mit gefühlter Sicherheit kommt, der sollte mal ein paar Normalnutzern dabei zusehen was die machen wenn sie auf eine Seite ohne Verschlüsselung kommen und dort ein Formular ist. Dem Normalnutzer ist es völlig egal ob verschlüsselt oder nicht. Der tippt seine Daten so oder so rein.
    Das ist einfach die Realität und wenn man alles verschlüsselt dann hat man wenigstens alles getan um den Nutzer bestmöglich vor sich selbst zu schützen.

  7. Re: Let's encrypt

    Autor: Iruwen 21.09.15 - 17:02

    Absolut, aber das Problem hier sind ja MITM-Angriffe durch unbefugt ausgestellte valide Zertifikate, daran ändert Let's Encrypt halt nichts.

  8. Re: Let's encrypt

    Autor: SoniX 21.09.15 - 17:11

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Absolut, aber das Problem hier sind ja MITM-Angriffe durch unbefugt
    > ausgestellte valide Zertifikate, daran ändert Let's Encrypt halt nichts.

    Hey warte. Wird nicht gerade das immer als Argument für Zertifikate benutzt?

    Tja... keiner will auf mich hören. Sollen sie halt selbst draufkommen, dass n Zertifikat n Furz schützt.

  9. Re: Let's encrypt

    Autor: RipClaw 21.09.15 - 18:58

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Iruwen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Absolut, aber das Problem hier sind ja MITM-Angriffe durch unbefugt
    > > ausgestellte valide Zertifikate, daran ändert Let's Encrypt halt nichts.
    >
    > Hey warte. Wird nicht gerade das immer als Argument für Zertifikate
    > benutzt?
    >
    > Tja... keiner will auf mich hören. Sollen sie halt selbst draufkommen, dass
    > n Zertifikat n Furz schützt.

    Dann rate mal was leichter ist als eine SSL verschlüsselte Verbindung via Man in the Middle aufzuhebeln. Eine nicht verschlüsselte Verbindung abzuhören oder Datenpakete einzuschleusen. Das kann jeder der irgendwie auf die Leitung kommt.

    Und wenn du meinst es wäre so leicht an ein gültiges Zertifikat zu kommen dann hol dir doch mal eines z.B. für golem.de.

  10. Re: Let's encrypt

    Autor: RipClaw 21.09.15 - 19:17

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Absolut, aber das Problem hier sind ja MITM-Angriffe durch unbefugt
    > ausgestellte valide Zertifikate, daran ändert Let's Encrypt halt nichts.

    Und wie oft sind im Verhältnis zu den tausenden Zertifikaten die täglich ausgestellt werden unbefugte Zertifikate ausgestellt worden ?

    Man muss schon einiges an Kontrolle über eine Domain haben um ein Zertifikat bestellen zu können und zu Verifizieren das man der Inhaber der Domain ist.
    Das letzte mal das jemand sowas geschafft hat war der Schlampigkeit der Admins von live.fi zu verdanken die es einem Nutzer erlaubt haben sich hostmaster@live.fi zu registrieren.

    Es gibt eine Liste von Adressen die den Besitz der Domain verifizieren und hostmaster@ ist mit dabei. Der Rest sind admin@domain.de, administrator@domain.de, webmaster@domain.de und postmaster@domain.de.
    Zusätzlich ist auch noch die Adresse erlaubt die im Whois eingetragen ist.
    Keine dieser Adressen sollte so oder so im Besitz von Außenstehenden sein. Ansonsten hat der Admin geschlafen.

    Die Liste und die übrigens Richtlinien für die Vergabe von Zertifikaten kannst hier nachlesen:

    [cabforum.org]

    Ich hab mir auch die Richtlinien durchgelesen die sich Let's Encrypt für die Prüfung der Inhaberschaft auferlegt hat und die man auch als Teil des ACME Protokolls findet.
    Es wäre schon einiges an Kontrolle nötig um sich hier ein Zertifikat zu erschleichen.

    Das Let's Encrypt Projekt ist übrigens nur ein Teil der Bemühungen der EFF. Die haben auch ein Projekt am laufen um falsche Zertifikate aufzudecken. Das ganze nennt sich SSL Observatory:

    [www.eff.org]

    Und sie haben natürlich ein öffentliches Log für das Certificate-Transparency System von Google das diesen Zwischenfall aufgedeckt hat.

  11. Re: Let's encrypt

    Autor: SoniX 21.09.15 - 21:18

    Und du meinst es ist so einfach mal eben "in die Leitung" zu kommen? Dann komme mal in die Leitung von Golem ;-)

    Ernsthaft, klar ist Verschlüsselung sinnvoll. Aber das System ist korrupt und darauf aufzusetzen ist Schwachsinn. Sich auf falsche Sicherheit verlassen kann auch fatal ausgehen.

  12. Re: Let's encrypt

    Autor: Iruwen 21.09.15 - 22:18

    @RipClaw das ist alles richtig, aber nochmal: es geht in diesem Fall um unberechtigt ausgestellte Zertifikate, und auch wenn du dir bei Let's Encrypt ein Zertifikat für eine Domain ausstellen lässt ändert das nichts daran, dass sich jemand der über die entsprechenden Mittel (d.h. Zugriff auf ein vertrauenswürdiges CA-Zertifikat inkl. privater Schlüssel) verfügt ein gültiges Zertifikat für die gleiche Domain ausstellen lassen und einen MITM-Angriff durchführen kann. Beides kann natürlich nicht jeder 08/15 Angreifer, aber inwiefern man hier Vertrauen haben möchte bleibt allein der persönlichen Paranoia überlassen (mich persönlich stört es nicht sonderlich).
    Aber davor schützt Let's Encrypt halt auch nicht, davor schützt nur eine weitergehende Validierung der Zertifikate, z.B. durch Pinning. Insofern betrachte ich das System auch nicht grundsätzlich als schlecht, aber als grundsätzlich verbesserungswürdig. Und auch wenn Unregelmäßigkeiten in den Protokollen auflaufen dauert es ja eine gewisse Weile bis eine Reaktion erfolgt.

  13. Re: Let's encrypt

    Autor: SoniX 22.09.15 - 07:03

    Ich habe mir für mein Zertifikat eine andere emailadresse aussuchen können was auch nötig war, da ich nur einen Webserver aber keinen mailserver habe.

    Aber so kann eigentlich jeder ein Zertifikat auf meine Domain ausstellen. Da ists egal was irgendwo geregelt ist wenn es nicht eingehalten wird.

    Ist übrigens von Comodo mein Zertifikat ;-)

  14. Re: Let's encrypt

    Autor: RipClaw 22.09.15 - 07:56

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Ich habe mir für mein Zertifikat eine andere emailadresse aussuchen können
    > was auch nötig war, da ich nur einen Webserver aber keinen mailserver habe.
    >
    > Aber so kann eigentlich jeder ein Zertifikat auf meine Domain ausstellen.
    > Da ists egal was irgendwo geregelt ist wenn es nicht eingehalten wird.
    >
    > Ist übrigens von Comodo mein Zertifikat ;-)

    Dann war es die Adresse die im Whois für die Domain eingetragen war. Das Märchen das man beliebige Adressen verwenden kann, kannst du jemand anderem erzählen. Ich hab täglich mit Zertifikatsbestellungen bei Comodo zu tun und weiß welche Verifikationsmöglichkeiten sie anbieten und welche nicht.

    Bei Comodo sind neben der Mailverifikation noch HTTP, HTTPS und DNS Verifikation möglich.
    Bei der HTTP/HTTPS Verifikation muss man eine vorgegebene Datei mit einem vorgegebenen Inhalt ins Hauptverzeichnis der Domain spielen um zu belegen das einem die Domain gehört.
    Bei der DNS Verifikation muss man eine bestimmte Subdomain mit einem CNAME Eintrag auf eine andere definierte Domain erstellen.

  15. Re: Let's encrypt

    Autor: RipClaw 22.09.15 - 08:09

    Was mich am meisten nervt sind so Aussagen wie "Das System ist kaputt" die dann zu dem Ergebnis führen das alle lieber im Klartext alles übermitteln, denn SSL würde ja jemanden in falscher Sicherheit wiegen und das wäre ja so gefährlich, da ist es sicherer alles unverschlüsselt zu übermitteln.

    Das ist der gleiche Quatsch den Motorradfahrer immer erzählen wenn es um den Helm geht. Ja er ist unbequem und schützt auch nicht zu 100% aber besser als wenn man ohne fährt. Aber natürlich können sie dann nicht das eigene Motorrad hören mit dem abmontierten Schalldämpfer denn sonst klingt es ja nicht "geil".

    Ähnliche Argumente hat man auch gehört als es um die Anschnallpflicht im Auto ging usw.

    Tatsache ist das die Leute sich immer schön alles zurechtbiegen wenn es darum geht das sie die eine oder anderen Unbequemlichkeit in kauf nehmen müssen. Klar gibt es keine 100% Sicherheit aber besser als Klartext wäre sogar eine opportunistische Verschlüsselung ohne Zertifikat.

  16. Re: Let's encrypt

    Autor: RipClaw 22.09.15 - 08:22

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Und du meinst es ist so einfach mal eben "in die Leitung" zu kommen? Dann
    > komme mal in die Leitung von Golem ;-)

    Schon mal mit einem Paketsniffer ein öffentliches WLAN besucht ?

    Da bist du per Default in der Leitung und kannst alles mitlesen was die anderen so durch die Gegend schicken sofern es nicht verschlüsselt ist.
    Das gilt auch für verschlüsselte WLANs wenn man das Passwort hat.

    Ach ja und da sich Handys gerne in bekannte WLANs einbuchen ist es recht einfach ihren Scan nach bestimmten SSIDs mitzulesen und dann automatisch einen Access Point einzurichten der genau diese SSID hat. Wenn sich das Handy automatisch in diesen Access Point einbucht dann kann man auch mal wieder alles mitlesen was so im Klartext durch die Gegend geschickt wird.

    In eine Festnetzleitung zu kommen ist aufwendiger aber auch nicht unmöglich.
    Sicherheitslücken in Routern gibt es zur Genüge. Golem berichtet regelmäßig darüber.

    > Ernsthaft, klar ist Verschlüsselung sinnvoll. Aber das System ist korrupt
    > und darauf aufzusetzen ist Schwachsinn. Sich auf falsche Sicherheit
    > verlassen kann auch fatal ausgehen.

    Und was ist deine Alternative ? Klartext ? Die Leute geben so oder so ihre Daten ein, ob nun verschlüsselt oder nicht.

    Und was Vertrauen angeht so lassen sich die Leute auch schon von einem passenden Logo einlullen. Ansonsten würde Phishing nicht funktionieren.

  17. Re: Let's encrypt

    Autor: SoniX 22.09.15 - 09:00

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Dann war es die Adresse die im Whois für die Domain eingetragen war. Das
    > Märchen das man beliebige Adressen verwenden kann, kannst du jemand anderem
    > erzählen. Ich hab täglich mit Zertifikatsbestellungen bei Comodo zu tun und
    > weiß welche Verifikationsmöglichkeiten sie anbieten und welche nicht.

    Genau das dachte ich auch als ich das Zertifikat erstellt hatte. Die Adresse war eingegeben und ich hatte es so belassen.

    Das Zertifikat aber bekam ich an die Adresse meines Accounts geschickt und nicht an die Adresse des Whois Eintrages.

    Ich hatte mich auch gewundert...

    > Bei Comodo sind neben der Mailverifikation noch HTTP, HTTPS und DNS
    > Verifikation möglich.
    > Bei der HTTP/HTTPS Verifikation muss man eine vorgegebene Datei mit einem
    > vorgegebenen Inhalt ins Hauptverzeichnis der Domain spielen um zu belegen
    > das einem die Domain gehört.
    > Bei der DNS Verifikation muss man eine bestimmte Subdomain mit einem CNAME
    > Eintrag auf eine andere definierte Domain erstellen.

    Möglich, habe ich nicht benutzt.

  18. Re: Let's encrypt

    Autor: SoniX 22.09.15 - 09:05

    Ich habe nie gesagt unverschlüsselt wäre besser. Das hast du erfunden.

    Ich habe gesagt das System ist nicht sicher und das ist es auch nicht. Und ich habe gesagt es kann fatal sein sich auf falsche Sicherheit zu verlassen.

    Ich habe auch gesagt Verschlüsselung ansich wäre gut.

    Aber es muss ein neues System her.

    Und nein, frage mich nicht welches und ob ich nicht eines aus dem Ärmel schütteln kann. Das kann ich nicht. Das heisst aber nicht dass ich das bisherige, nur weil es nichts besseres gibt, als gut befinde.

    Gerade bei kleinen Seite die nur Informationen anbieten wird oft gefragt ob denn Verschlüsselung nötig sei. Immerhin ist es doch ein gewisser Aufwand an Zeit oder Geld Verschlüsselung einzurichten. Das einzige Argument was da am Ende wirklich übrig bleibt sind die MITM Angriffe. Aber genau die kann man mit dem bisherigen System nicht verhindern. Klar, besser als nichts, aber sicher ists noch lange nicht.

  19. Re: Let's encrypt

    Autor: Iruwen 22.09.15 - 14:16

    Die Erstellung eines Zertifikats mit einjähriger Gültigkeit bei StartSSL dauert beim ersten Mal keine halbe Stunde und wenn man weiß wie es geht zehn Minuten. Und ist kostenlos. Das kann kein Argument sein.

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Was mich am meisten nervt sind so Aussagen wie "Das System ist kaputt" die
    > dann zu dem Ergebnis führen das alle lieber im Klartext alles übermitteln,
    > denn SSL würde ja jemanden in falscher Sicherheit wiegen und das wäre ja so
    > gefährlich, da ist es sicherer alles unverschlüsselt zu übermitteln.

    Das sind meist Leute die auch der Meinung sind, URLs würden unverschlüsselt übertragen :p



    1 mal bearbeitet, zuletzt am 22.09.15 14:18 durch Iruwen.

  20. Re: Let's encrypt

    Autor: SoniX 22.09.15 - 14:26

    Na dann setze doch die Millionen Leutchen hin die sich mit irgendeinem "Homepagebaukasten" eine Webseite gebastelt haben und sag Ihnen sie sollen da nun ein Zertifikat erstellen und einbinden.

    Abseits dessen das man mit solchen Systemen seltenst die Möglichkeit hat ein Zertifikat überhaupt einzubinden wird es schon an der Erstellung des Zertifikates scheitern. Bei den Leuten ist man froh wenn sie Word und Windows auseinanderhalten können.

    Der Erfolg wird also irgendwo gehen Null gehen.

    Diejenigen die sich selbst einen Server aufsetzen mit einem Linuxsystem, die haben in der Regel auch kein Problem ein Zertifikat einzubinden und bräuchten eigentlich auch kein letsencrypt. Aber wieviele % mögen das wohl sein?

    Guckt doch endlich mal über euren Tellerrand!!

    Magst du da Support leisten? Ist deiner Meinung nach ja soo einfach... ;-)



    1 mal bearbeitet, zuletzt am 22.09.15 14:29 durch SoniX.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Mobile Developer Android (m/w/d)
    Fressnapf Holding SE, Düsseldorf
  2. Applikations Techniker (w/m/d) HW & SW - 2nd & 3rd Level Support
    Novexx Solutions GmbH, Eching bei München
  3. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  4. Mitarbeiter (m/w/d) - EDI Operator / Support
    European-Clearing-Center (ECC) GmbH & Co. KG, Bergkamen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 424,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Disney+ füllt seine Star-Wars-Lücken auf
Streaming
Disney+ füllt seine Star-Wars-Lücken auf

Fast alles von Star Wars kann man bei Disney+ streamen. Ein paar Kleinigkeiten haben aber noch gefehlt. Am 18. Juni gibt es Nachschub an neuem Alten.
Von Peter Osteried

  1. National Air and Space Museum Der X-Wing-Jäger aus Star Wars kommt ins Museum
  2. Star Wars Disney zeigt erstmals ausfahrbares Lichtschwert
  3. Star Wars - The Bad Batch Die Schaden-Charge hat jetzt ihre eigene Serie

Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
Razer Blade 14 im Test
Der dreifach einzigartige Ryzen-Laptop

Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
Ein Test von Marc Sauter

  1. Razer Der erste Blade-Laptop mit Ryzen ist da

DJI FPV im Test: Adrenalin und Adlerauge
DJI FPV im Test
Adrenalin und Adlerauge

Die DJI FPV verpackt ein spektakuläres Drohnen-Flugerlebnis sehr einsteigerfreundlich. Wir haben ein paar Runden mit 100 km/h gedreht.
Ein Test von Martin Wolf

  1. Quadcopter DJI Air 2S mit großem Sensor für 5,4K-Videos erschienen
  2. DJI Drohnenhersteller plant offenbar Einstieg ins Autogeschäft
  3. Drohne DJI Air 2s soll mit 20 Megapixeln fliegend fotografieren