1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTP 2.0: Entwurf für…

Warum die Aufregung? Geht heute schon problemlos ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum die Aufregung? Geht heute schon problemlos ...

    Autor: sphere 24.02.14 - 13:05

    Wer den CA-Store kontrolliert, also OS- und Browser-Hersteller oder auch Administratoren in Firmennetzwerken, kann doch heute schon problemlos ein Wildcard-Zertifikat installieren und sämtlichen SSL-Traffic aus- und neu einpacken. In vielen Unternehmen gängige Praxis.

  2. Re: Warum die Aufregung? Geht heute schon problemlos ...

    Autor: Sharra 24.02.14 - 14:18

    Gängige Praxis mag sein, aber auch illegal, sofern die Mitarbeiter nicht darüber informiert wurden.

  3. Re: Warum die Aufregung? Geht heute schon problemlos ...

    Autor: Gandalf_the_Grey 24.02.14 - 14:29

    Völlig korrekt. Wir machen das grundsätzlich bei uns in der Firma genauso.

    Unsere Firewall stellt genau zu diesem Zweck ein spezielles Zertifikat bereit welches wir in alle wichtigen Truststores implementiert haben (Java, Windows Truststore, Smartphone -> über MDM, Firefox, ...).

    Funktioniert einwandfrei mit 90% aller Applikationen. Gibt nur ein paar wenige die (weil Sie ihren eigenen Truststore mitbringen) hier herumzicken.

    Wir nutzen das um z.B. im https Datenstrom nach Viren und anderem Schadecode zu scannen (und ja, davon gibt es eine ganze Menge) sowie ungewünschte Applikationen (wie z.B. dediziert Facebook Spiele ohne den Rest von Facebook zu beeinträchtigen) zu blockieren.

    Das ganze ist bei uns auch mit den Mitarbeitern über eine Betriebsvereinbarung geregelt und wird von unserem Datenschützer kontrolliert (auf Einhaltung des Datenschutzes).

    In diesem Vorschlag geht es allerdings um eine tiefgehendere Implementierung. Denn hier scheint unter anderem ein neuer CA-Parameter für auszustellende Zertifikate gefordert zu sein (so lese ich das aus dem RFC).

    Damit würde dann dem Client ein gültiges Zertifikat ausgestellt was von einer offiziellen CA kommen kann (somit kann ich mir den Workaround sparen die Truststores zu manipulieren) und nicht gleichzeitig auf *.* ausgestellt sein muss (was ja nun wirklich keiner ernsthaft will).

    Ich stehe dem ganzen momentan etwas unschlüssig gegenüber. Denn einerseits verstehe ich jeden der Angst um seine Privatspähre hat (ich gehöre ja, Privat gesprochen) auch zu diesen Leuten und würde mich nicht gerade freuen wenn ich über so einen Proxy eventuell Zwangsgeleitet würde (z.B. bei meinem ISP oder etwa in einem Internetcafé oder im Mobilfunkbereich).

    Andererseits würde mir sowas in unserer Firma vieles an Arbeit ersparen und viele Workarounds unnötig machen.

    Hier schlagen wirklich gerade 2 Herzen in meiner Brust. Aber es ist halt wie mit vielen: Es ist immer eine Frage wer diese Technik einsetzt und wofür.

    Davon abgesehen sollte man ja auch zwischen Transport- und Inhaltsverschlüsselung sowie deren Anwendungsgebieten unterscheiden.

    Aber im Prinzip hast du wie gesagt recht. Machbar ist das schon heute mit etwas technischem Aufwand. Das hier ist nur die logische Fortführung der zugrundeliegenden Idee.

  4. Re: Warum die Aufregung? Geht heute schon problemlos ...

    Autor: M. 25.02.14 - 10:16

    Dass solche MitM-Eingriffe - und technisch ist das genau das - nicht ohne das direkte Importieren von eigenen Zertifikaten in den X.509-Truststore funktionieren, halte ich für sehr sinnvoll. Das führt nämlich dazu, dass normale Benutzer das nicht einfach so tun, ohne die Auswirkungen davon zu verstehen. Ein MitM-Proxy kann zu Debug-Zwecken oder auch in bestimmten kontrollierten Umgebungen sinnvoll sein, aber es muss sichergestellt sein, dass ihm nur Geräte/Anwendungen vertrauen, die explizit so konfiguriert wurden. Der Draft sagt bloss, dass das Einverständnis des Benutzers eingeholt werden sollte (SHOULD - nicht MUST). Wie das geschieht ist völlig offen, es wird aber vermutlich einfacher sein als das installieren von Root-Zertifikaten, damit besteht die Gefahr, dass es unerfahrene Benutzer erlauben, ohne die Folgen zu kennen. Wenn das 'einfach' geht und dem 'normalen Nutzer' zugemutet werden kann, zwingen vielleicht einige ISPs ihre Kunden sogar zu so was (transparenter Zwangsproxy).

    Ein anderes Problem ist, dass HTTP-Hardening-Verfahren wie Certificate Pinning nicht mehr funktionieren können, wenn der Proxy die Prüfung des Server-Zertifikats übernimmt. Ausserdem kann ein erfahrener Benutzer, der zur Nutzung eines solchen Proxys gezwungen wird, nicht mehr entscheiden, welchen CAs er vertrauen möchte.

    Weiters ist auch die Netzneutralität gefährdet, wenn so was auf ISP-Seite zum Einsatz kommt. Der Provider hat meine Pakete durchzuleiten, genau so, wie ich sie schicke. Wenn er das (warum auch immer) nicht kann, hat er mir das über eine passende ICMP-Nachricht mitzuteilen. Gerade bei mobilen Internetzugängen ist das besonders schlimm, da werden teilweise wirklich HTML-Inhalte in Antworten 'optimiert' und dadurch unbrauchbar, Bilder verlustbehaftet komprimiert oder Pakete mit unüblichen IP-Protokollen, Quell- und Zielports einfach gedroppt, meist sogar ohne ICMP-Benachrichtigung. Ich verwende da aus gutem Grund ein VPN und biete meine Websites für mobile Geräte nur über HTTPS an, damit erspart man sich eine Menge Ärger...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SOLCOM GmbH, Reutlingen
  2. Dataport, Rostock
  3. Kassenärztliche Vereinigung Mecklenburg-Vorpommern, Schwerin
  4. htp GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

  1. Galaxy Fold im Test: Falt-Smartphone mit falschem Format
    Galaxy Fold im Test
    Falt-Smartphone mit falschem Format

    Samsung hat bei seinem faltbaren Smartphone nicht nur mit der Technik, sondern auch mit einem misslungenen Marktstart auf sich aufmerksam gemacht. Die zweite Version ist deutlich besser geglückt und aufregend in ihrer Neuartigkeit. Nur: Wozu braucht man das Gerät?

  2. Neuer Trick: Ransomware versteckt sich im Windows Safe Mode
    Neuer Trick
    Ransomware versteckt sich im Windows Safe Mode

    Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

  3. Software-Update: Der Jaguar I-Pace bekommt mehr Reichweite
    Software-Update
    Der Jaguar I-Pace bekommt mehr Reichweite

    Elektrischer Rennsport ist für Jaguar eine Möglichkeit, Erkenntnisse für Serien-Elektroautos zu gewinnen. Beim I-Pace ist das gelungen: Unter anderem durch Verbesserungen im Management des Akkus fährt das Auto weiter.


  1. 12:04

  2. 11:59

  3. 11:43

  4. 11:16

  5. 11:01

  6. 10:37

  7. 10:22

  8. 10:07