Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Private Schlüssel auf dem…

Doch was, wenn der Schlüssel auf dem Webserver landet ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Anonymer Nutzer 12.07.17 - 16:46

    ...- und dann nicht mehr privat ist?

    Was wenn der Webserver den privaten Schlüssel nicht kennt, wie verschlüsselter dieser dann?

  2. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Subsystemzero 12.07.17 - 16:54

    Das ist ja eigentlich das nächste, das unklar ist.

    Der private Schlüssel dient ja letztlich nur dazu Https serverseitig zu realisieren. Wie kann man damit denn neue valide CSR gegen eine namhafte CA stellen? Benötigt man da nicht zusätzlich ein Benutzerkonto?

    Sorry, für die Frage, aber mit der Theorie ists schon etwas her..

    Edit: alles klar, geht "nur" um Man-in-the-middle



    1 mal bearbeitet, zuletzt am 12.07.17 16:59 durch Subsystemzero.

  3. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: c3rl 12.07.17 - 17:27

    MysticaX schrieb:
    --------------------------------------------------------------------------------
    > ...- und dann nicht mehr privat ist?
    >
    > Was wenn der Webserver den privaten Schlüssel nicht kennt, wie
    > verschlüsselter dieser dann?

    Dem Webserver muss der Schlüssel natürlich zur Verfügung stehen, aber der Artikel beschreibt eben den Fall, dass dieser im öffentlichen Webroot lag, was ein absolut katastrophaler Fehler ist, von dem ich mir nicht erklären kann, wie das passiert.

    Keys sollten in einem Verzeichnis liegen, welches dem super user gehört und umask 0077 erfüllt. Beispiel Debian: `/etc/ssl/mycompany/foobar.crt` für das das Zertifikat, `/etc/ssl/mycompany/private/foobar.key` für den Schlüssel.

    OpenSSH kreidet es z.B. an und bricht dann ab, wenn Schlüssel zu offen herumliegen. Wäre wohl mal eine gute Idee, so einen Check auch in Apache und NGINX einzubauen.



    1 mal bearbeitet, zuletzt am 12.07.17 17:28 durch c3rl.

  4. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Itchy 12.07.17 - 17:29

    c3rl schrieb:
    --------------------------------------------------------------------------------

    > OpenSSH kreidet es z.B. an und bricht dann ab, wenn Schlüssel zu offen
    > herumliegen. Wäre wohl mal eine gute Idee, so einen Check auch in Apache
    > und NGINX einzubauen.

    +1

  5. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Anonymer Nutzer 12.07.17 - 19:06

    c3rl schrieb:
    --------------------------------------------------------------------------------

    > Dem Webserver muss der Schlüssel natürlich zur Verfügung stehen, aber der
    > Artikel beschreibt eben den Fall, dass dieser im öffentlichen Webroot lag,
    > was ein absolut katastrophaler Fehler ist, von dem ich mir nicht erklären
    > kann, wie das passiert.

    Meine Fragestellung war übrigens mehr eine Anspielung auf dem besagten Ausschnitt, weil ich mich mit der Materie auskenne.

    Der Titel und der von mir kopierte Anreissertext suggerieren das der private Schlüssel nichts auf einem Webserver zu suchen haben.

    Im Artikel der Satz:
    "Dieser Vorfall zeigt einmal mehr, dass Daten auf Webservern ein bislang unterschätztes Sicherheitsrisiko darstellen."
    Suggeriert dann das man am besten gar keine Dateien auf einen Webserver packt.

    Interessanterweise ist der letzte Satz im Anreissertext dann richtig
    "Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten"

    Ist ein riesengrosser Unterschied ob eine Datei auf dem Webserver liegt oder in einem öffentlich zugänglichen Verzeichniss liegt, das man treffender weise als Webseite bezeichnen kann.

    Dann noch mal zurück zu dem Sicherheitsrisiko, in beidem Fällen das hier und auch das mit dem Datenbank dumps, ist pure Schlampigkeit, sehe da nun nicht den Bezug des Sicherheitsrisikos, wenn der Webserver gehackt wurde und Zugriff genommen wurden auf Dateien die nicht im Webroot liegen, dann kann man das gerne Sicherheitsrisiko nennen.


    > Keys sollten in einem Verzeichnis liegen, welches dem super user gehört und
    > umask 0077 erfüllt. Beispiel Debian: `/etc/ssl/mycompany/foobar.crt` für
    > das das Zertifikat, `/etc/ssl/mycompany/private/foobar.key` für den
    > Schlüssel.
    >
    > OpenSSH kreidet es z.B. an und bricht dann ab, wenn Schlüssel zu offen
    > herumliegen. Wäre wohl mal eine gute Idee, so einen Check auch in Apache
    > und NGINX einzubauen.

  6. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: ibsi 12.07.17 - 19:55

    Danke, ich war schon kurz am überlegen was ich denn nun falsch gemacht habe :D Der *Key MUSS doch auf dem Server liegen ... wie soll das denn sonst gehen* dachte ich mir.

    Aber Private Schlüssel sollten doch Grundsätzlich NICHT zum Download bereit stehen, ob das nun SSH, SSL, oder sonst was ist. Deshalb sind sie ja PRIVAT.

  7. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: rugel 12.07.17 - 20:18

    c3rl schrieb:
    --------------------------------------------------------------------------------

    > OpenSSH kreidet es z.B. an und bricht dann ab, wenn Schlüssel zu offen
    > herumliegen. Wäre wohl mal eine gute Idee, so einen Check auch in Apache
    > und NGINX einzubauen.

    Wozu ? Es gibt noch genügend andere Möglichkeiten Mumpitz zu konfigurieren und wo fängt man an und wo hört man dann auf.

  8. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: amagol 12.07.17 - 21:20

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Danke, ich war schon kurz am überlegen was ich denn nun falsch gemacht habe
    > :D Der *Key MUSS doch auf dem Server liegen ... wie soll das denn sonst
    > gehen* dachte ich mir.

    Der Key MUSS dort liegen wo die SSL-Verbindung terminiert wird. Das muss nicht zwangslaeufig der Webserver sein (das koennen auch einige Loadbalancer).

  9. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Anonymer Nutzer 12.07.17 - 21:57

    amagol schrieb:
    --------------------------------------------------------------------------------
    > Der Key MUSS dort liegen wo die SSL-Verbindung terminiert wird. Das muss
    > nicht zwangslaeufig der Webserver sein (das koennen auch einige
    > Loadbalancer).

    Solange der aber nicht direkt an mit den anderen Server verbunden ist oder man ein eigenes Rechenzentrum hat,sollte man auch intern verschlüsseln.
    Das wäre dann noch mal ein ganz anderes Level.

    Mir ging es lediglich darum, das die Nachricht, die Dinge nicht klar darstellt, was generell ein Problem mit Nachrichten ist, das Niveau geht stetig bergab :-(

  10. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Anonymer Nutzer 12.07.17 - 22:10

    schau dir mal keyless von cloudflare an.

  11. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: 486dx4-160 13.07.17 - 00:12

    Ein ziemlich einleuchtender Ansatz zur Lösung von Versicherungsproblemen.
    In der Praxis dürfte das die Probleme nur vergrößern. Wer's nicht schafft seinen privaten Schlüssel außerhalb von htdocs zu speichern wird's 2x nicht schaffen den "keyless ssl server" korrekt, sicher und stabil zu betreiben. Der Spaß vervielfacht die Komplexität.

  12. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: nicoledos 13.07.17 - 14:38

    Ähnlich wie bei den Datenbankdumps sehe ich das Problem wohl darin. Bei Webservern gibt es oft kein separates home-verzeichnis. Im Webroot ist gleich das home des users.

    Alles was man da im vermeintlichen 'home' per ssh, ftp und was auch immer anstellt stellt der Webserver gleichzeitig der Welt zur Verfügung. Nur wenigen ist dieses Problem wirklich bewusst.

  13. Re: Doch was, wenn der Schlüssel auf dem Webserver landet ...

    Autor: Anonymer Nutzer 13.07.17 - 22:51

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Alles was man da im vermeintlichen 'home' per ssh, ftp und was auch immer
    > anstellt stellt der Webserver gleichzeitig der Welt zur Verfügung. Nur
    > wenigen ist dieses Problem wirklich bewusst.

    Ich gehe mal von aus du meinst die Situation bei Webhostern?
    Da habe ich schon lange keinen mehr gesehen wo das der Fall ist, bei dem meisten kann man sogar für jede Domain einen webroot selbst eingeben.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln
  3. OHB System AG, Bremen, Oberpfaffenhofen
  4. KÖNIGSTEINER AGENTUR GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

  1. Deutsche Glasfaser: Was passiert, wenn Glasfaser 1 GBit/s auch liefern muss
    Deutsche Glasfaser
    Was passiert, wenn Glasfaser 1 GBit/s auch liefern muss

    Wenn ein Dorf plötzlich ein Drittel der Bandbreite des DE-CIX ausnutzen würde, müsste sich auch der FTTH-Anbieter Deutsche Glasfaser etwas einfallen lassen. Etwa eine 2.000-Gigabit-Standleitung.

  2. WD Black SN750: Leicht optimierte NVMe-SSD mit 2 TByte
    WD Black SN750
    Leicht optimierte NVMe-SSD mit 2 TByte

    Die WD Black SN750 ist eine verbesserte Version der bekannten WD Black 3D: Die Geschwindigkeit der NVMe-SSD steigt, die Kapazität wurde verdoppelt und ein Kühler verhindert frühes Drosseln bei langer Last.

  3. Konsolen-SoC: AMDs Gonzalo hat acht Zen-Kerne und Navi-GPU
    Konsolen-SoC
    AMDs Gonzalo hat acht Zen-Kerne und Navi-GPU

    Ein als Gonzalo entwickelter Chip für eine kommende Spielekonsole von wahrscheinlich Microsoft oder Sony basiert auf einem Zen-Octacore und nutzt eine Navi 10 genannte Grafikeinheit.


  1. 18:04

  2. 15:51

  3. 15:08

  4. 14:30

  5. 14:05

  6. 13:19

  7. 12:29

  8. 12:02