1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internet im Flugzeug: Gogo benutzt…

Hinweis fehlt, dass Zertifikat nicht durch CA signiert

  1. Thema

Neues Thema Ansicht wechseln


  1. Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Levino 06.01.15 - 17:32

    Ich finde es grenzwertig, dass Sie nicht dazu schreiben, dass das Zertifikat keine ordentliche Signatur hat und die meisten Browser das Laden der Seite verweigern, ohne "ueberredet" zu werden. Das ist ja unnoetige Verunsicherung.

  2. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Der mit dem Blubb 06.01.15 - 18:00

    Wobei dann vermutlich auch 99 % der Besucher das Zertifikat anstandslos akzeptieren.

  3. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Anonymer Nutzer 06.01.15 - 22:38

    Wobei das nur Glück ist. Wäre der Provider zufällig auch noch anerkannter CA wäre es signiert ;)

  4. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Thorium 06.01.15 - 22:57

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > Wobei das nur Glück ist. Wäre der Provider zufällig auch noch anerkannter
    > CA wäre es signiert ;)


    Dann aber wäre er mit der nächsten Möglichkeit aus den meisten Browsern verbannt worden.

  5. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Anonymer Nutzer 06.01.15 - 23:00

    Thorium schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wobei das nur Glück ist. Wäre der Provider zufällig auch noch
    > anerkannter
    > > CA wäre es signiert ;)
    >
    > Dann aber wäre er mit der nächsten Möglichkeit aus den meisten Browsern
    > verbannt worden.


    Wenns denn dann überhaupt aufgefallen wäre.

  6. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Yoyo117 06.01.15 - 23:12

    Soweit ich weiß verwendet YouTube doch HSTS und laut dem Twitter-Feed von Ms. Felt ist die Sicherheitswarnung zu verletztem HSTS unter Chrome zumindest nicht wegklickbar. [1]
    Demzufolge wäre auch jegliches richtig signierte Zertifikat als HSTS-Verletzung erkannt worden und hätte zu derselben Warnung geführt.

    [1] https://twitter.com/__apf__/status/552213909449740288



    2 mal bearbeitet, zuletzt am 06.01.15 23:15 durch Yoyo117.

  7. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Anonymer Nutzer 07.01.15 - 08:29

    Yoyo117 schrieb:
    --------------------------------------------------------------------------------
    > Demzufolge wäre auch jegliches richtig signierte Zertifikat als
    > HSTS-Verletzung erkannt worden und hätte zu derselben Warnung geführt.
    >

    Ich habe dazu leider so schnell keine Quelle finden können. Hast du vielleicht eine für mich? (Wikipedia, rfc,...)
    Das hsts laut Standard immer eine https Verbindung erzwingt weiß. Leider habe ich keinen Hinweis gefunden, dass durch hsts das original Zertifikat gecachet und bei nächsten aufruf gegen das vom Server gesendete validiert wird.

  8. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: WilliTheSmith 07.01.15 - 11:26

    Wird es, soweit ich weiß auch nicht.
    Dafür soll es in Zukunft ja HTTP Public-Key-Pinning geben. Ich kann mich natürlich auch irren. ;)



    1 mal bearbeitet, zuletzt am 07.01.15 11:39 durch WilliTheSmith.

  9. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Yoyo117 07.01.15 - 15:22

    Ach verdammt, ja natürlich ^^ Danke für den Hinweis.

    Public-Key-Pinning führt erst zu dieser nicht wegklickbaren Warnung...
    Allerdings ist das kein "in Zukunft soll es ja", sondern bereits in Chromium implementiert. [1] Firefox benutzt die Liste von Chromium mit den ganzen Google-Certs ebenfalls sowie weitere eigens hinzugefügte. [2]

    [1] https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
    [2] https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

    edit: In [1] steht gleich am Anfang was mit "This file contains the HSTS preloaded list in a machine readable format.", gewissermaßen ist das Public-Key-Pinning zumindest programmiertechnisch anscheinend eine Erweiterung von HSTS... kann mich aber auch gänzlich irren, schau mir gleich mal das rfc an...

    edit2: Jep, im Public-Key-Pinning RFC stehts so:

    PKP is meant to be used together with HTTP Strict Transport Security
    (HSTS) [RFC6797], but it is possible to pin keys without requiring
    HSTS.

    [3] https://tools.ietf.org/html/draft-ietf-websec-key-pinning-21

    edit3: Und weil WilliTheSmith hier speziell von HTTP-Public-Key-Pinning (HPKP) und nicht lediglich PKP redet, hier ist es bei Firefox zumindest schon implementiert:

    https://bugzilla.mozilla.org/show_bug.cgi?id=787133



    5 mal bearbeitet, zuletzt am 07.01.15 15:34 durch Yoyo117.

  10. Re: Hinweis fehlt, dass Zertifikat nicht durch CA signiert

    Autor: Anonymer Nutzer 07.01.15 - 15:34

    Yoyo117 schrieb:
    --------------------------------------------------------------------------------
    > Ach verdammt, ja natürlich ^^ Danke für den Hinweis.


    Danke, kannte ich noch nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. OEDIV KG, Bielefeld
  3. CHECK24 Kontomanager GmbH, München
  4. SOG Business-Software GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 11,69€ (Bestpreis!)
  2. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...
  3. (u. a. Digitus S7CD Aktenvernichter für 24,99€, Krups Espresso-Kaffee-Vollautomat EA 8150 für...
  4. (u. a. Sandisk Extreme PRO NVMe 3D SSD 1TB M.2 PCIe 3.0 für 145,90€ (mit Rabattcode...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    IT in Behörden: Modernisierung unerwünscht
    IT in Behörden
    Modernisierung unerwünscht

    In deutschen Amtsstuben kommt die Digitalisierung nur schleppend voran. Das liegt weniger an den IT-Abteilungen als an ihren fachfremden Kollegen.
    Ein Bericht von Andreas Schulte

    1. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
    2. Golem on Edge Homeoffice im Horrorland
    3. Anzeige Die voll digitalisierte Kaserne der Zukunft

    Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
    Threat-Actor-Expertin
    Militärisch, stoisch, kontrolliert

    Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
    Ein Porträt von Maja Hoock

    1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
    2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
    3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware