1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kasachstan: Man-in-the-Middle-Angriff…

Wie lösen die Zertifikats-Pinning ...

Das Wochenende ist fast schon da. Zeit für Quatsch!
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie lösen die Zertifikats-Pinning ...

    Autor: Michinator 03.12.15 - 15:21

    Wie wird denn in Kasachstan dann mit Diensten umgegangen, die Zertifikats-Pinning machen?

    Das ist doch wie bei jedem Unternehmen, dass HTTPS Inspection macht - für diese Dienste gibts da Ausnahmen, Cisco Webex fällt mir da spontan ein.

    In den Fällen gibts dann einfach Zertifikats-Warnungen oder schlicht keine Funktion?

    Und wie geht man mit unbekannten Diensten um (alternative Ports etc.) - wird dann einfach alles gesperrt, dass nicht bekannt klartext oder knackbare Verschlüsselung ist? Dann wird VIELES nicht mehr gehen.

    Gruß,
    Michael

  2. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: Rabbit 03.12.15 - 15:48

    Ich vermute einfach mal wild in die Gegend: wenn der Man-in-the-middle-Proxy die TLS Verbindung nicht entschlüsseln kann, dann verweigert er den Verbindungsaufbau.

    Die Antwort wäre dann: gar nicht, aber es kommt dann halt auch keine Verbindung zu stande.

  3. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: derh0ns 03.12.15 - 17:56

    Irgentwann ist das Pinning ja abgelaufen und dann kann man es mit dem Hash der eigenen CA ersetzen.

  4. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: hab (Golem.de) 03.12.15 - 19:29

    Zertifikats-Pinning hilft dagegen leider nicht.

    Der Hintergrund ist folgender: Die Webbrowser haben Pinning so implementiert, dass lokal installierte Zertifikate davon nicht betroffen sind. Der Grund dafür ist eben, dass es zahlreiche Produkte gibt, die auf derartige Man-in-the-Middle-proxies bauen - ob man dsa nun gut findet oder nicht.

    Wir hatten das hier schonmal erklärt:
    https://www.golem.de/news/https-kaspersky-ermoeglicht-freak-angriff-1504-113747.html

    Ein gutes Gefühl hab ich dabei auch nicht, aber ich kann die Browserhersteller in gewisser Weise verstehen. Deren Argument ist: Wenn etwas lokal installiert ist, hat das alle Rechte. Würde man versuchen, das zu verhindern, würde das dazu führen, dass die Hersteller von "TLS-Interception"-Appliances (oder halt - in diesem Fall - die kasachstanische Telco) versuchen würden, die Browserfunktionen zu hooken oder ähnliches - was potentiell zu noch schlimmeren Securitykatastrophen führen dürfte.

    (Und um keine Mißverständnisse aufkommen zu lassen: Ich halte derartige TLS-Interception-Geräte für hochgradigen Unfug und dass sogenannte IT-Sicherheitsfirmen das verkaufen ist im Grunde ein Skandal. Aber ich glaube Pinning ist nicht die Antwort darauf.)

  5. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: Rabbit 03.12.15 - 20:02

    Ja und nein, Google Chrome z.B. hat fixes pinning für Google Zertifikate, der nimmt teilweise einfach keine anderen an. Hilft halt allen andere nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ITSCare - IT-Services für den Gesundheitsmarkt GbR, Stuttgart
  2. NEW AG, Mönchengladbach
  3. Bezirkskliniken Schwaben, Augsburg
  4. Kreis Paderborn, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 28,99€
  2. 7,99€
  3. 14,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast

AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
AfD und Elektroautos
"Herr, lass Hirn vom Himmel regnen!"

Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
Eine Analyse von Friedhelm Greis

  1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
  2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
  3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz

Videokonferenzen: Bessere Webcams, bitte!
Videokonferenzen
Bessere Webcams, bitte!

Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
Ein IMHO von Martin Wolf

  1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera