Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Extended Validation: Browser wollen…

Intranet

  1. Thema

Neues Thema Ansicht wechseln


  1. Intranet

    Autor: ollit 12.08.19 - 17:53

    Und wenn jetzt Browser die Möglichkeit bieten würden, Self Signed Zertifikate im Intranet als vertrauenswürdig zu akzeptieren, dann wäre ich richtig glücklich.

    (Und wenn mir jetzt jemand erklären will, dass das unabdingbar ist, dann würde ich kurz das Thema ssh-Schlüssel zu Bedenken geben.)

  2. Re: Intranet

    Autor: dododo 12.08.19 - 18:02

    Was spricht den gegen ein Unternehmens CA das auf den Unternehmensclients installiert ist? Ggfs. mit einer einfachen Möglichkeit eigene Zertifikate für Subdomains zu beantragen.

  3. Re: Intranet

    Autor: HeroFeat 12.08.19 - 23:13

    Das klingt nach einer üblen Idee. Auch auf Intranet-Ebene lauern Gefahren. Ein übernommenes IoT Gerät oder anderer Computer oder dergleichen hätten bereits erhebliche Gefahren zur Folge. Und was du mit ssh-schlüsseln meinst, keine Ahnung. Das läuft doch wie genauso. Bei der ersten Verbindung, muss man den Fingerprint des Remote ssh Servers bestätigen, der wird dann gespeichert. Falls dieser sich ändert, muss dieser auch ausgetauscht werden. Das ist bei https genauso. Man kann doch Self Signed Zertifikate auch jederzeit problemlos als vertrauenswürdig hinterlegen.
    Die ganze Geschichte mit den Zertifizierungsstellen dient ja nur dazu, damit die Leute wissen, welche Verbindung vertrauenswürdig ist. Sonst würde auch jeder einen Key angezeigt bekommen und müsste diesen bei der ersten Verbindung auf gut Glück bestätigen.

    Wie dododo schrieb kann man ja auch jederzeit selbst CA spielen.

    Und mit Let's Encrypt kann ja auch jeder Server auf dem das notwendig ist einfach ein, von einer anerkannten Zertifizierungsstelle, signiertes Zertifikat bekommen. Wenn man dann die DNS-01 Challenge benutzt braucht es auch kein "Loch" in der Firewall.

  4. Re: Intranet

    Autor: ollit 13.08.19 - 11:05

    Wenn du viele hundert Maschinen aller Art und Weise in einem Intranet betreibst, dann wachsen dir die Kosten für den Austausch der Zertifikate alle zwei Jahre über den Kopf.
    CAs skalieren nicht hinsichtlich der Arbeitsaufwände auf der Clientseite.

    Ergo werden alle Maschinen den vertrauenswürdigen Ausnahmen hinzugefügt. Ebenso verhält es sich mit den ssh-Keys. Hier hat aber noch niemand gefordert, dass eine ssh-Verbindung über DNS aufgebaut werden muss und die Auth gegen eine PKI erfolgen muss. Der Widerspruch erschließt sich mir nicht.

    CAs und PKIs sind in geschlossenen Intranets schlichtweg überflüssig und verursachen nur Kosten.

    Insgesamt betrachtet sind CAs und PKIs broken by design. Aber das ist ein anderes Thema.

  5. Re: Intranet

    Autor: HeroFeat 13.08.19 - 13:17

    Also, gerade wenn man "viele hundert Maschinen aller Art und Weise" betreibt, sollte man für eine sichere Zertifikatsinfrastruktur sorgen. Kein Intranet ist zu 100% sicher. Und das sich irgendwann mal der Drucker, von dem jemand nur mal jemand eben per USB Stick drucken wollte irgendeinen Virus einfängt ist doch recht hoch. Und wenn es nicht das ist. Dann ist es was anderes.
    Es macht dann aber einen erheblichen Unterschied, ob sofort aller Traffic unverschlüsselt da ist, oder ob alles ordentlich abgesichert ist.

    Und wie Let's Encrypt zeigt, kann man durch Automatisierung auf vielen verschiedenen Geräten alle 90 Tage das Zertifikat austauschen. Es muss halt automatisiert laufen. Wenn da alle 2 Jahre jemand schauen muss wie das noch war mit dem Austausch, dann manuell das Zertifikat generiert wird, dieses manuell signiert wird, ... Man kann da aufgrund der Minimierung menschlicher Fehler eine ziemlich vertrauenswürdige Infrastruktur aufbauen. So schwer ist das nicht.

    Aber prinzipiell kann man ja auch das Ablaufdatum bei seiner CA beliebig gestalten. Es zwingt einen ja keiner 2 Jahre zu nehmen. Man kann ja auch 20 Jahre einstellen. Dann gilt das Zertifikat halt für die Lebensdauer des Gerätes. Ist halt etwas unsicherer, aber man muss immerhin nicht auf allen Clients die "vielen hundert" vertrauenswürdigen Ausnahmen hinzufügen. Man muss dann nur eine einzelne Ausnahme hinzufügen und gut ist es. Klingt für mich immer noch einfacher zu verwalten. Die Laufzeit eines Zertifikats ist ja rein fiktiv. Das Zertifikat schimmelt ja nicht, verblasst nicht, ...
    Man muss halt nur sagen, wann es "gefährlich" wird.

  6. Re: Intranet

    Autor: ollit 13.08.19 - 13:29

    Meine Forderung war es, im Intranet Self Signed Certificates als vertrauenswürdig einstellen zu können. Eine PKI/CA bietet keine höhere Sicherheit als ein Self Signed Certificate. Es bietet nur eine gefühlte höhere Sicherheit. Aber mit Gefühlen erhöht man nicht die absolute Sicherheit.

    Nochmal. Es stört sich keiner an der Art und Weise wie ssh-Keys nicht authentifiziert werden, aber bei https sollen Zertifikate verwendet werden? Finde den Widerspruch!

    Für Intranets braucht es keine CAs/PKIs, um die Sicherheit zu erhöhen. Es braucht Lösungen, die im Enterprise/Carrier Umfeld hinsichtlich des Aufwands, sprich der Betriebskosten, skalieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  2. Hochschule Furtwangen, Furtwangen
  3. operational services GmbH & Co. KG, Frankfurt am Main, Dresden, Berlin
  4. hubergroup Deutschland GmbH, Kirchheim bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-60%) 23,99€
  2. 4,99€
  3. (u. a. FIFA 19, Battlefield V, Space Huilk Tactics, Rainbow Six Siege)
  4. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. UMTS: 3G-Abschaltung kein Thema für die Bundesregierung
    UMTS
    3G-Abschaltung kein Thema für die Bundesregierung

    Nutzer, die kein LTE in ihren Verträgen festgeschrieben haben, sollten wechseln, da 3G zunehmend abgeschaltet werde. Das erklärte das Bundesverkehrsministerium und sieht keinen Grund zum Eingreifen.

  2. P3 Group: Wo die Mobilfunkqualität in Deutschland am niedrigsten ist
    P3 Group
    Wo die Mobilfunkqualität in Deutschland am niedrigsten ist

    Die Qualität des Mobilfunks in Deutschland ist in den einzelnen Bundesländern sehr unterschiedlich. Dort, wo Funklöcher gerade ein wichtiges Thema sind, ist die Versorgung gar nicht so schlecht.

  3. Mecklenburg-Vorpommern: Funkmastenprogramm verzögert sich
    Mecklenburg-Vorpommern
    Funkmastenprogramm verzögert sich

    Wegen fehlender Zustimmung der EU ist das Geld für ein Mobilfunkprogramm in Mecklenburg-Vorpommern noch nicht verfügbar. Dabei hat das Bundesland laut einer P3-Messung große Probleme.


  1. 18:00

  2. 18:00

  3. 17:41

  4. 16:34

  5. 15:44

  6. 14:42

  7. 14:10

  8. 12:59