-
Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: Natanji 28.03.17 - 17:25
Gerade Banken haben den Userns immer wieder erklärt, dass ein grünes Schloss bedeuten würde, die Verbindung sei sicher - und das stimmt natürlich nur im Sinne von "verschlüsselt", nicht im Sinne von "authentifiziert". Zur Authentifizierung sind die Zertifikate eben aus den im Artikel genannten Gründen unbrauchbar, weil ein Nutzer nicht wirklich erkennen kann, ob die Seite legitim ist.
Let's Encrypt macht es genau richtig: es nutzt die Zertifikate eben wie sie gedacht sind, nämlich als eine Absicherung, dass der Traffic zur entsprechenden Seite verschlüsselt ist und auch nur diese den Traffic empfangen kann. Es authentifiziert die in der Addresszeile angegebene URL, nicht mehr und nicht weniger.
Wer technisch versiert ist, weiß, dass das Problem "meine Addresszeile ist etwas anderes als was ich denke" nicht mit Zertifikaten lösbar ist, mit ihnen überhaupt nichts zu tun hat. Das ist einfach nur ein Rumgeheule der Zertifikats-Industrie, die sich auf dem absteigenden Ast befindet. -
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: ikhaya 28.03.17 - 17:35
Banken und wichtige Seiten haben wie PayPal EV Zertifikate. Browser zeigen dann den Namen des Unternehmens an.
-
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: Quantium40 28.03.17 - 17:35
Natanji schrieb:
> Let's Encrypt macht es genau richtig: es nutzt die Zertifikate eben wie sie
> gedacht sind, nämlich als eine Absicherung, dass der Traffic zur
> entsprechenden Seite verschlüsselt ist und auch nur diese den Traffic
> empfangen kann. Es authentifiziert die in der Addresszeile angegebene URL,
> nicht mehr und nicht weniger.
Ob es richtig ist, die Zertifikatsinhaberprüfung praktisch unter den Tisch fallen zu lassen, bezweifle ich.
Im Endeffekt hat Let's Encrypt (und der HTTPS-Everywhere-Wahn von Chrome & Co.) nur dafür gesorgt, dass es Malwarescanner schwerer haben, Proxies keinen Traffic mehr einsparen können und Phishing-Sites von den Browsern Grünes-Schloss-Credibility verliehen bekommen.
Immerhin hat man so weniger ein Problem mit Man-in-the-Middle-Angriffen, die praktisch nie ein Problem größeren Ausmaßes waren, da Bösewichte üblicherweise (und der Einfachheit wegen) lieber gleich Clients und Server attackieren oder auf Schicht-8-Versagen setzen. -
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: Quantium40 28.03.17 - 17:38
ikhaya schrieb:
> Banken und wichtige Seiten haben wie PayPal EV Zertifikate. Browser zeigen
> dann den Namen des Unternehmens an.
Allerdings wird auch bei EV-Zertifikaten nicht geprüft, ob sich eventuell der Server schon in Feindeshand befindet. Praktisch alle größeren Fälle von Datenreichtum passierten bei Großunternehmen, denen die Daten direkt von ihren Servern abhanden kamen.
Paypal gehörte da übrigens auch schon mal dazu. -
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: Hotohori 28.03.17 - 18:13
Quantium40 schrieb:
--------------------------------------------------------------------------------
> Natanji schrieb:
> > Let's Encrypt macht es genau richtig: es nutzt die Zertifikate eben wie
> sie
> > gedacht sind, nämlich als eine Absicherung, dass der Traffic zur
> > entsprechenden Seite verschlüsselt ist und auch nur diese den Traffic
> > empfangen kann. Es authentifiziert die in der Addresszeile angegebene
> URL,
> > nicht mehr und nicht weniger.
>
> Ob es richtig ist, die Zertifikatsinhaberprüfung praktisch unter den Tisch
> fallen zu lassen, bezweifle ich.
> Im Endeffekt hat Let's Encrypt (und der HTTPS-Everywhere-Wahn von Chrome &
> Co.) nur dafür gesorgt, dass es Malwarescanner schwerer haben, Proxies
> keinen Traffic mehr einsparen können und Phishing-Sites von den Browsern
> Grünes-Schloss-Credibility verliehen bekommen.
> Immerhin hat man so weniger ein Problem mit Man-in-the-Middle-Angriffen,
> die praktisch nie ein Problem größeren Ausmaßes waren, da Bösewichte
> üblicherweise (und der Einfachheit wegen) lieber gleich Clients und Server
> attackieren oder auf Schicht-8-Versagen setzen.
SSL generell ist eben nicht dazu da Webseiten als sicher zu authentifizieren, wenn das Firmen falsch kommuniziert haben, ist das deren Problem. -
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: devman 29.03.17 - 07:16
ikhaya schrieb:
--------------------------------------------------------------------------------
> Banken und wichtige Seiten haben wie PayPal EV Zertifikate. Browser zeigen
> dann den Namen des Unternehmens an.
Ich hab auch schon TAN Phishing mit grünem Schloss, Unternehmensname und original Bankseitenadresse gesehen. Ein Kumpel wollte unbedingt kostenlos Bundesliga Fußball sehen und hatte sein PC infiziert.
Immer achtsam sein. -
Re: Tja, was wird jetzt aus den Ratschlägen, man solle auf das grüne Schloss achten?
Autor: Natanji 29.03.17 - 13:15
devman schrieb:
--------------------------------------------------------------------------------
> Ich hab auch schon TAN Phishing mit grünem Schloss, Unternehmensname und
> original Bankseitenadresse gesehen. Ein Kumpel wollte unbedingt kostenlos
> Bundesliga Fußball sehen und hatte sein PC infiziert.
> Immer achtsam sein.
Das kommt ja nur noch dazu. Wenn die lokale Maschine infiziert ist, kann sie anzeigen was der Malware-Autor möchte. Auch das ist nix, wo Zertifikate helfen können.



