Jeder Domain-Besitzer sollte eine CA sein

Es wäre super wenn man mit dem Erwerb einer Domain automatisch zu einer CA werden würde. Allerdings könnte man natürlich nur Zertifikate für die eigene Domain bzw. für Subdomains signieren. Die Certificate-Chain würde also quasi anhand der Domain aufgebaut.

Die Browser müssten dann standardmässig nur dem jeweiligen Zertifikat der TLD vertrauen. Die Second-Level-Zertifikate müssten dann alle von ihrem jeweiligen TLD-Zertifikat signiert sein und die Subdomains könnte man sich dann selber signieren.

Problematisch wird dies natürlich, wenn man kein Vertrauen in das jeweilige Land hat (was wohl bei jedem Land der Fall wäre). Aber das wäre gar nicht so schlimm! Wenn man paranoid ist, und einem oder mehreren Ländern nicht vertraut, kann man deren Zertifikat einfach nicht mehr vertrauen und stattdessen jeder Domain dieser TLD seperat sein Vertrauen schenken.

Was meint ihr dazu?

Allgemein finde ich die derzeitige Situation ohnehin sehr bedenklich. Wenn der Browser einer CA-vertraut und ein Benutzer eine Seite besucht, deren Zertifikat von dieser CA signiert wurde, dann zeigt der Browser dem User (meist noch mit grüner Farbe) an, dass alles in Ordnung und sicher ist. Dem Benutzer wird gar nicht vermittelt, dass dies nur eine Behauptung dieser CA ist. Die meisten Menschen wissen nicht mal, dass es CAs gibt, und dass z.B. die Sicherheit der Verbindung zu ihrer e-Banking Webseite nicht gegeben, sondern eine Vertrauensfrage ist.

Abhilfe schaffen würde hier z.B. dass der Browser das erste mal wenn er ein CA-Zertifikat als Beweis dafür heran zieht, dass eine Verbindung sicher ist, den Benutzer auch fragt, ob er dem CA-Zertifikat wirklich vertraut.

Dies würde die User daran gewöhnen, dass Sie jemandem vertrauen müssen, damit eine Verbindung als sicher gilt. Würde sich nun z.B. eine Seite dazu entscheiden ihr Zertifikat selbst zu signieren, so wäre die Meldung die dann erscheint ("Möchten sie dem Herausgeber dieses Zertifikats vertrauen?") nicht völlig fremd für den Benutzer. Die Benutzer wären daran gewöhnt.

Würde man das im Moment für die eigene Seite machen, hätte man schlicht keine User, weil der Browser dem User sagt "Die Verbindung ist nicht sicher!". Was aber gar nicht zwingen der Fall ist. Die Meldung erscheint bei unverschlüsselten Seiten schliesslich auch nicht, obwohl diese eigentlich unsicherer sind, als die meisten Seiten mit self-signed Zertifikaten.



5 mal bearbeitet, zuletzt am 19.11.14 16:59 durch patrik.stutz.

> Allgemein finde ich die derzeitige Situation ohnehin sehr bedenklich. Wenn der Browser einer CA-vertraut und ein Benutzer eine Seite besucht, deren Zertifikat von dieser CA signiert wurde, dann zeigt der Browser dem User (meist noch mit grüner Farbe) an, dass alles in Ordnung und sicher ist. Dem Benutzer wird gar nicht vermittelt, dass dies nur eine Behauptung dieser CA ist. Die meisten Menschen wissen nicht mal, dass es CAs gibt, und dass z.B. die Sicherheit der Verbindung zu ihrer e-Banking Webseite nicht gegeben, sondern eine Vertrauensfrage ist.

Ist es nicht so, dass Zertifikate nur in Verbindung mit SSL-Verbindungen verarbeitet/geprüft werden?
D.h. die Sicherheit der Verbindung ist mit dem Zertifikat automatisch gewährleistet, oder nicht?

Nein, eben nicht. Du kannst ja nicht wissen, ob die CA ein zweites Zertifikat signiert hat, das sich als dich ausgibt. Das ist ja genau die Vertrauensfrage.

azeu schrieb:
--------------------------------------------------------------------------------
> > Allgemein finde ich die derzeitige Situation ohnehin sehr bedenklich.
> Wenn der Browser einer CA-vertraut und ein Benutzer eine Seite besucht,
> deren Zertifikat von dieser CA signiert wurde, dann zeigt der Browser dem
> User (meist noch mit grüner Farbe) an, dass alles in Ordnung und sicher
> ist. Dem Benutzer wird gar nicht vermittelt, dass dies nur eine Behauptung
> dieser CA ist. Die meisten Menschen wissen nicht mal, dass es CAs gibt, und
> dass z.B. die Sicherheit der Verbindung zu ihrer e-Banking Webseite nicht
> gegeben, sondern eine Vertrauensfrage ist.
>
> Ist es nicht so, dass Zertifikate nur in Verbindung mit SSL-Verbindungen
> verarbeitet/geprüft werden?
> D.h. die Sicherheit der Verbindung ist mit dem Zertifikat automatisch
> gewährleistet, oder nicht?

Nein, ich kann auch mit einem gültigen Zertifikat den Server auf SSLv2 konfigurieren und eine NULL Cipher verwenden. Dein Browser zeigt ein grünes Schloss, aber die Verbindung ist trotzdem unsicher.

Eine Self-signed CA weiß ebenfalls niemand, ob es die "eigene" ist, oder ob in Verbindung mit einem DNS-Spoofing wer anderes eine Self-signed CA erstellt hat, mit der er selbst Zertifikate ausstellt, und die Domain vorgaukelt.

Schlüsselmaterial bei der Registry zu platzieren und hieraus eine Kette zu erstellen ist genau das Konzept von DANE, aber es bietet ebenfalls keine weitere Sicherheit.

1. SSLv2 mit NULL Cipher sind hier ebenfalls möglich, auch sonstige Mindeststandardanforderungen finden keine Anwendung, wie sich die CAs den Baseline Requirements unterwerfen und sich an bestimmte Mindeststandards halten müssen.

2. Viele DNSSEC-Zonen sind wie kürzlich bei Golem berichtet lediglich mit einem 1024 bit-Schlüssel signiert, die Sicherheit der Einträge darin sind daher fragwürdig.

3. Online-Signierungen sind wesentlich unsicherer, als was die durch Auditoren überprüften CAs an Aufwand mit Hardware Key Modulen und Offline-Signierungen betreiben.

4. Und das auch hier wichtigste vergessene: Ein domainvalidiertes Zertifikat (auch oder erst recht für lau, da hier auch keine weiteren Sicherheitsmaßnahmen erfolgen können und ohne fehlendes Geschäftsmodell für die Sicherheit auch niemand gerade stehen wird, wozu auch, es ist ja auch keiner haftbar und es geht ja um "nichts") oder auch generell eine Domainvalidierung wie mit DANE hat keinerlei Wertigkeit. Ich weiß nicht, mit wem ich kommuniziere, ich weiß nicht, ob Phisher, Spammer, ..., das Zertifikat sagt nur aus, die Domain, die ich aufgerufen habe, ist die Domain, die ich aufgerufen habe, jedwede Validierung von Inhaberdaten bleibt aus. Ein domainbasiertes Modell ist daher hinfällig und unbrauchbar, so lange jeder irgendwelche Domains registrieren und irgendwelche Daten dazu angeben kann und das ist Status Quo und nahezu unmöglich zu ändern oder gar vertrauenswürdig sicherzustellen.