1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS
  6. Th…

einfachere Einrichtung

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: einfachere Einrichtung

    Autor: spiderbit 17.12.14 - 00:29

    soso privatleute die nur verschluesslung fuer owncloud brauchen und die solche drecksfirmen eh nicht trauen die zertificate aus stellen.

    Ausserdem hab ichs ja dann zuerst doch richtig verstanden, nur kamm dann die daemliche frage wie man was verschluesseln soll ohne zertificat? Da ich mich mit https so gut wie nicht beschaeftigt habe da es mir sooooooo am arsch vorbei geht, wie sonst was, ist eh total unsicher, geht nur darum das nicht jeder volldepp auf die daten auf dem owncloud zugreifen kann, nsa kanns ja eh da https wie wir jetzt ja wissen absolut unsicher ist.

    Ja werf viel durcheinander bin nur zu faul differenziert hier ueber den Mist zu reden, ich will halt nur irgendwie die verschluesselung dann kommt die selten daemliche frage wie man ohne zertificat verschluesseln will, ja mit den 2 keys zertficaten.

    Sorry bin auf die Frage Truster in dem Fall rein gefallen, da ich dachte das er mehr ahnung hat wie ich, wo wohl das gegenteil richtig war.

    Ich weiss sehr wohl was asymetrische verschluesselung noch fuer asymetrische irgendwelche Zertificate braucht.

    Um meine frage vielleicht anders zu stellen, wieso kann man nicht einfach die verschluesselung ohne den bloeden zertificateshit benutzen, es geht nicht um die Sicherstellung das die andere Persond ie ist fuer die ich sie halte, sondern darum, das verschluesslung an ist. Wieso ist das 2. Feature das nur komische Firmen brauchen nicht optional.

    Sorry mich nervt das thema schreib vielleicht zu laessig oder wuetend daher, aber ich will nicht um verschluesselung an zu schalten immer 5 handstaende machen. bei ssh reicht systemctl sshd start wieso reicht kein systemctl start https fertig (ja oder was aehnlich simples, in apache.conf ssl-compression=true oder irgendwas in der art. Oder wenn man den ganzen mist mit zertificaten machen muss dann halt so simpel und unsicher wie irgendwie moeglich als default.

  2. Re: einfachere Einrichtung

    Autor: spiderbit 17.12.14 - 00:43

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > spiderbit schrieb:
    > ---------------------------------------------------------------------------
    > -----

    > Das ist in etwa wie der Unterschied zwischen einer Visitenkarte und einem
    > Ausweis.
    > Die Karte kann ich mir mit jedem beliebigen Namen anfertigen lassen, beim
    > Ausweis wird das schon etwas schwieriger.


    Naja das jemand mein Daddy sein Owncloud server per Man-in-the-Middle attacke (Spoofing) speziel hackt um an seine Urlaubsbilder und vielleicht ein paar Finanzauflistungen pdfs/odfs und so weiter macht halte ich fuer auesserst unwahrscheinlich, deswegen will ich trotzdem nicht, das NSA standardmaesig alles durch ihren Traffic-leser druch jagt unverschluesselt.
    Das sie vielleicht nicht genug platz haben fuer die bilder zu speichern mag sein, aber sie koennten die pdfs und alles in ascii files aus lesen oder aehnliches und das gut komprimiert auf ihren Zetabytes oder was sie haben speichern.

    Es koennte vorallem auch jeder dahergelaufene volldepp ohne ssl da mit lesen und vielleicht mit diesen daten dann was anfangen ihm irgendwelche betrugsmails schicken etc.

    Hab aber trotzdem keine lust und zeit mich damit zig stunden zu beschaeftigen das sollte in 15-30 mins einfach stressfrei gehen.

    Man wird quasi gleich behandelt wie ein Multimiliardenunternehmen als Privatmensch. Apache ist so ein anderes beispiel hab mich da durch gewurschtelt und kapier da jetzt das wichtigste, aber es gab andere die aehnlich es sehen und es gibt mitlerweile etliche alternativen zu apache die sich durch einfachere konfiguration aus zeichnen.

    Generell der ganze Webkack kommt mir in Linux immer wie ein Fremdkoerper vor, alles andere ist meist sehr sehr leicht zu administrieren, sshd z.B. 1000x einfacher zu administrieren wie apache, das einzig andere was vielleicht auch noch aehnlich kompliziert ist teilweise sind datenbanken. Aber auch die sind eigentlich leichter zu administrieren wie apache.

  3. Re: einfachere Einrichtung

    Autor: spiderbit 17.12.14 - 00:44

    danke fuer diese Info, schoen das ich nicht der einzige bin mit dem Problem, ist ja zum gleuck meistens so :)

  4. Re: einfachere Einrichtung

    Autor: DaChicken 17.12.14 - 00:57

    Consulting für zert. In den exchange füllen, ich sollte mehr Geld nehmen XD

  5. Re: einfachere Einrichtung

    Autor: jokey2k 17.12.14 - 04:13

    spiderbit schrieb:
    --------------------------------------------------------------------------------
    > soso privatleute die nur verschluesslung fuer owncloud brauchen und die
    > solche drecksfirmen eh nicht trauen die zertificate aus stellen.

    Also ich glaube schon, dass die Leute denen trauen. Die Alternative wäre alle Stammzertifikate aus dem Browser zu löschen und alle Zertifikate, die einem dann präsentiert werden durch einen persönlichen Besuch beim Anbieter zu kontrollieren.
    Wie viele Nutzer das wohl so machen?

    > Ausserdem hab ichs ja dann zuerst doch richtig verstanden, nur kamm dann
    > die daemliche frage wie man was verschluesseln soll ohne zertificat? Da ich
    > mich mit https so gut wie nicht beschaeftigt habe da es mir sooooooo am
    > arsch vorbei geht, wie sonst was, ist eh total unsicher, geht nur darum das
    > nicht jeder volldepp auf die daten auf dem owncloud zugreifen kann, nsa
    > kanns ja eh da https wie wir jetzt ja wissen absolut unsicher ist.

    Verschlüsseln ohne Zertifikat wäre kein Problem. HTTPS soll aber nicht nur für verschlüsselt sondern auch garantierter Ansprechpartner auf der Gegenstelle sicherstellen. Das geht ohne Zertifikat nicht.

    In 99% der Fälle geht es aber nicht um die NSA, sondern um den Kriminellen, der einen Rechner mit einem Trojaner infiziert, der auf localhost einen Proxy laufen lässt und so Daten mitliest und abgreift. Das fällt bei einer HTTPS Verbindung, wo auch Zertifikate geprüft werden, natürlich sofort auf. Würde man kein Zertifikat nutzen, wäre die Verschlüsselung bereits am lokalen Trojaner beendet.

    > Ja werf viel durcheinander bin nur zu faul differenziert hier ueber den
    > Mist zu reden, ich will halt nur irgendwie die verschluesselung dann kommt
    > die selten daemliche frage wie man ohne zertificat verschluesseln will, ja
    > mit den 2 keys zertficaten.

    Schon richtig, dass es ein wenig aufwendig ist. Aber Sicherheit und Komfort sind immer Gegensätze. Beispiel Funkschlüssel: Abhören und Kopieren ohne physikalischen Besitz des Schlüssels möglich.
    Smart Home: Temperatursensoren haben eine feste ID. Spassfaktor: ein Paket mitlauschen um die ID zu bekommen, dann Paket senden, was 34° Solltemperatur entspricht. Komfort aber Risiko.
    Und diese Liste ließe sich sicher noch endlos fortsetzen.

    > Um meine frage vielleicht anders zu stellen, wieso kann man nicht einfach
    > die verschluesselung ohne den bloeden zertificateshit benutzen, es geht
    > nicht um die Sicherstellung das die andere Persond ie ist fuer die ich sie
    > halte, sondern darum, das verschluesslung an ist. Wieso ist das 2. Feature
    > das nur komische Firmen brauchen nicht optional.

    Siehe bereits meine Antwort oben. Und aus praktischer Erfahrung kann ich sagen, dass das gar nicht so selten ist, wie man denkt. Und nein, AntiVir rettet einen nicht davor, auch wenn es noch so kostenlos ist.

    > Sorry mich nervt das thema schreib vielleicht zu laessig oder wuetend
    > daher, aber ich will nicht um verschluesselung an zu schalten immer 5
    > handstaende machen.

    Mehr als verständlich und unterschreibe ich so auch zu 100%. Aber es gibt 1000 Varianten, wie die Leute Webserver konfigurieren. Ein Tool wie das von let's encrypt wird da ne weite Strecke zurücklegen müssen, um das alles abzudecken.
    Anders rum installieren Standard Linuxe auch meist gleich ein selbst signiertes Zertifikat oder bieten eine kurze Anleitung zum Copy&Pasten, wie etwa hier https://wiki.debian.org/Self-Signed_Certificate
    oder mit ein paar mausklicks wie hier
    https://www.synology.com/de-de/knowledgebase/tutorials/464

  6. Re: einfachere Einrichtung

    Autor: SoniX 17.12.14 - 09:29

    Ah ok, dann werde ich mal wieder basteln.

    Das root habe ich mit drin ^^

    Sonst habe ich ein PositiveSSLCA2.crt und ein domainname_com.crt bekommen. Und ein Anforderungszertifikat server.csr (und server.key) habe ich auch bekommen, welches ich aber nicht gebraucht habe beim anfordern.

  7. Re: einfachere Einrichtung

    Autor: cware 17.12.14 - 10:18

    Ja natürlich gibt es die - nimm einfach eine völlig veraltete Ciphersuite ohne PFS und du bist schon gut dabei.

  8. Re: einfachere Einrichtung

    Autor: frostbitten king 17.12.14 - 11:43

    > Wenn man etwas halt nur sehr selten macht, kann man Profi sein und trotzdem
    > "unbedarft". Deswegen: es muss einfacher werden, allerdings.
    Oh, boy, this. Damals wie Heartbleed passiert ist, hab ich nen langen Nachmittag gebraucht bis ich die certs getauscht hab. Im Zuge dessen auch gleich eine Intermediate CA eingezogen.

  9. Re: einfachere Einrichtung

    Autor: spiderbit 17.12.14 - 13:06

    wie gesagt ssh ist fuer mich das sicherste Verschluesselungssystem, klar auch dort kann es bugs geben, aber selbst die probleme die debian da mal hatte, wurden zumindest bei 3.firmen soweit bekannt praktisch nicht ausgenutzt. hearthbleed war das glaub anders.

    Das kommt voellig ohne Zertificate aus, oder es laeuft wegen mir im hintergrund voellig automatisch ab. es gibt schon so ne kennung wo sich ssh beklagt wenn sich was aendert.

    Wenn das also ssh voellig automatisch schafft, wieso sollte ich ploetzlich ins Mittelalter zureuck fuer https, nicht nur das manuell einrichten, sondern auch noch mit richtig schlechten uebertrieben komplizierten tools mit schlechten defaults.

    Selbst PGP ist hier simpler, und selbst das sit noch zu schwer das es vielleicht 1 pro mille stark nutzt. Und ja auch dort ist die identitaetzpruefung eine Option.

    Letztendlich ists es aber egal, denn wenn wirksam verschluesselt ist, kann die gegenstelle nix mit der antwort anfangen.

    Ich habe eher so das gefuehl das man bei https so viel wert auf die sicherstellung des Gespraechspartners legt, weil die verschluesslung statt auf sicherheit primaer auf speed optimiert ist und man ihr deshalb eh nicht traut, wuerde man ihr wirklich trauen, wuerde es wie gesagt keine rolle spielen, da ja alle klicks uploads formulare verschluesselt zu den fakeseiten geschickt wuerden und diese seiten dann eh nix mit anfangen koennten.

  10. Re: einfachere Einrichtung

    Autor: cware 18.12.14 - 18:26

    SSH funktioniert an der Stelle recht ähnlich zu HTTPS. Bei SSH werden die Zertifikate beim Installieren des jeweiligen Packages erzeugt. Wenn du dich mit deinem Client das erste Mal verbindest, wird gemeckert, dass der Schlüssel für die jeweilige IP unbekannt ist. Die nimmst du dann in deinen Schlüsselbund auf - genau das gleiche passiert, wenn du auf einen Webserver mit nicht vertrauenswürdigem Zertifikat triffst.

  11. Re: einfachere Einrichtung

    Autor: spiderbit 19.12.14 - 14:12

    naja 1. wird der key automatisch erzeugt
    2. ist die aufnahme der ausname ein y enter entfernt, bei den browsern kommen dann 1000 Warnschilder extrem umstaendliche nervige menues.

    Wenn dann mal bei Android schaust wirds noch bekloppter, wenn ich da nen https key aktzeptieren will. Zumindest fuer bestimmte apps, und den key zentral hinzufuege, dann muss ich gleichzeitig ein passwort einrichten, obwohl ich eigentlich gar keines will. und muss dann jedesmal wenns handy gesperrt wird desahbl ein passwort eingeben. Total verrueckt.

    Das sollte doch meine entscheidung sein, wieviel sicherheit mir reicht oder nicht.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Data Scientist / Aktuar (m/w/d) im Bereich Business Intelligence
    Allianz Versicherungs-AG, München, Unterföhring
  2. Stellvertretender Teamleiter (m/w/d) Fertigungsplanung / Supply Chain und Projekte
    SKF GmbH, Mühlheim an der Donau
  3. SAP-Produktmanagerin/SAP-Pro- duktmanager (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  4. Leiter Global IT (m/w/d)
    über Dr. Maier & Partner GmbH Executive Search, Rhein-Neckar-Raum

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Gears 5 für 9,99€, Forza Horizon 4 für 29,99€)
  2. Über 3400 Angebote mit bis zu 90 Prozent Rabatt
  3. 13,49
  4. (u. a. Assetto Corsa Competizione für 13,99€, NASCAR Heat 5 für 7,50€)


Haben wir etwas übersehen?

E-Mail an news@golem.de