Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

  1. Thema

Neues Thema Ansicht wechseln


  1. Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 16.12.14 - 12:26

    Um das hier mal anzumerken, es gibt viele Zertifizierungsstelleb welche einem ein fertiges Zertifikat anbieten. Dies birgt aber ein wahnsinniges Sicherheitsrisiko. Solchen Zertifizierungsstellen gehoert allgemeinhin das Vertrauen entzogen da es keine Sicherheit gibt dass das Zertifikat auch auf dem entsprechenden Server generiert wurde.
    Die andere, sichere Methode ,ist das signieren des oeffentlichen Zertifikats. Hierbei verlaesst der private Teil des Zertifikats niemals den eigentlichen Server und so ist ausgeschlossen dass an diesem Manipulationen moeglich sind.
    StartSSL bietet beide Methoden und wenn sollte ausschliesslich die signierung verwendet werden, aber kein von StartSSL generiertes Zertifikat!



    1 mal bearbeitet, zuletzt am 16.12.14 12:30 durch davidh2k.

  2. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: heutger 16.12.14 - 23:50

    Keine seriöse Zertifizierungsstelle tut das, da StartSSL beide Möglichkeiten bietet, kann man sich darüber nun sein eigenes Bild machen... Dass Heartbleed-Tausche Geld kosten, damit "geizige" Websitebetreiber lieber unsicher bleiben, spricht ebenso Bände. So viel zu StartSSL...

  3. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 17.12.14 - 11:38

    Es gab vor einigen Wochen mal einen Artikel dass eben 5von 12 (ungefaehre Zahl, hab das genaue verhaeltnis nicht mehr im Kopf) getesteten Zertifizierungsstellen dass so handhaben...

  4. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: slashwalker 17.12.14 - 14:02

    davidh2k schrieb:
    --------------------------------------------------------------------------------
    > Um das hier mal anzumerken, es gibt viele Zertifizierungsstelleb welche
    > einem ein fertiges Zertifikat anbieten. Dies birgt aber ein wahnsinniges
    > Sicherheitsrisiko. Solchen Zertifizierungsstellen gehoert allgemeinhin das
    > Vertrauen entzogen da es keine Sicherheit gibt dass das Zertifikat auch auf
    > dem entsprechenden Server generiert wurde.
    > Die andere, sichere Methode ,ist das signieren des oeffentlichen
    > Zertifikats. Hierbei verlaesst der private Teil des Zertifikats niemals den
    > eigentlichen Server und so ist ausgeschlossen dass an diesem Manipulationen
    > moeglich sind.
    > StartSSL bietet beide Methoden und wenn sollte ausschliesslich die
    > signierung verwendet werden, aber kein von StartSSL generiertes Zertifikat!


    Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen Private Key zu erstellen, generiert dein BROWSER einen Private Key samt CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird übermittelt. Daran ist nichts unsicher und auch nichts unseriös.

    https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen

  5. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: hannob (golem.de) 17.12.14 - 14:13

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen
    > Private Key zu erstellen, generiert dein BROWSER einen Private Key samt
    > CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird
    > übermittelt. Daran ist nichts unsicher und auch nichts unseriös.

    Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.

    StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der Anmeldung erstellen und das passiert so und ist auch nicht problematisch. Das ist die Sache mit dem keygen-Formular.

    Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen. Und das ist nicht gut. Ist allerdings kein Problem von StartSSL sondern von vielen CAs. Es gab vor einer Weile dazu eine Diskussion im CA/Browser-Forum, ob man das verbieten sollte. Viele CAs haben sich dagegen gesträubt, weil sie argumentierten, dass ihre Kunden nicht in der Lage sind, ein CSR zu erstellen, weil das zu kompliziert ist.

    Ich finde das alles auch nicht gut und ich denke es spricht Bände darüber wie wenig sicherheitssensibel diese Branche ist. Aber für Nutzer gibt es eine ganz einfache Lösung: Wenn so ein Feature angeboten wird sollte man es nicht benutzen.

  6. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: jaykay2342 17.12.14 - 14:21

    Richtig, nur willst du ja meist ein Zertifikat für einen Server erstellen. Best practice ist es den Key direkt auf dem Gerät zu erstellen welches ihn später auch nutzt. Dann kann der auch nicht versehentlich, beim übertragen/backupen/etc irgendwo laden wo er nicht hin gehört. Manchmal geht es aber gar nicht, z.B. weil der Hersteller einer Appliance gar keine Funktion eingebaut hat einen Key zu generieren. Ich hab es auch schon erlebt dass Leute den Key und das CSR auf ihrer Workstation erstellt und dann den Inhalt der PEM files an ein Ticket gepasted habe. Und ja der Key war ohne Passwort geschützt.

  7. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: jaykay2342 17.12.14 - 14:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen
    > > Private Key zu erstellen, generiert dein BROWSER einen Private Key samt
    > > CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird
    > > übermittelt. Daran ist nichts unsicher und auch nichts unseriös.
    >
    > Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.
    >
    > StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der
    > Anmeldung erstellen und das passiert so und ist auch nicht problematisch.
    > Das ist die Sache mit dem keygen-Formular.
    >
    > Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt
    > kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen.
    > Und das ist nicht gut. Ist allerdings kein Problem von StartSSL sondern von
    > vielen CAs.

    Außer von StartSSL hab ich das noch nicht gehört. Ist natürlich wirklich ein Unding. Der heißt ja private-key und nicht shared-with-ca-key.

    > Es gab vor einer Weile dazu eine Diskussion im
    > CA/Browser-Forum, ob man das verbieten sollte. Viele CAs haben sich dagegen
    > gesträubt, weil sie argumentierten, dass ihre Kunden nicht in der Lage
    > sind, ein CSR zu erstellen, weil das zu kompliziert ist.
    >
    Kunden sind oft dümmer als man denkt. Eigentlich würde man ja erwarten dass die einer Anleitung folgen können und den openssl Befehl zum erstellen von Key und CSR auf eine shell gepasted bekommen. Ist aber dem ist wohl nicht so.

    > Ich finde das alles auch nicht gut und ich denke es spricht Bände darüber
    > wie wenig sicherheitssensibel diese Branche ist. Aber für Nutzer gibt es
    > eine ganz einfache Lösung: Wenn so ein Feature angeboten wird sollte man es
    > nicht benutzen.

    Als jemand der bei einem MSSP ( managed security service provider ) arbeitet sehe ich täglich wie unterschiedlich Sicherheit gehandelt wird. Daher ist mir schon klar dass es wohl genug Kunden gibt die sich aus Bequemlichkeit einfach den Key von der CA erstellen lassen. Für viele Firmen ist Sicherheit nur ein Harken auf der Checkliste für compliance. Da reagiert dann z.B. niemand auf Tickets in denen verdächtige Netzwerkaktivität von uns gemeldet wird. Malware? Who cares?! Auf der anderen Seite gibt es Firmen die es richtig ernst nehmen und jedem misslungenen Login nachgehen und den User fragen was da los war.

  8. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 18.12.14 - 06:36

    Ich weiss nicht wieso, aber mein Posting von gestern mit der Quelle ist verschwunden, naja dann hier nochmal.

    StartSSL ist da ueberigens keine Aussnahme...

    http://m.heise.de/ct/ausgabe/2014-12-Wie-CAs-das-Vertrauen-in-die-SSL-Technik-weiter-untergraben-2189639.html?from-classic=1

  9. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: hjp 22.12.14 - 10:19

    hannob (golem.de) schrieb:
    > Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.
    >
    > StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der
    > Anmeldung erstellen und das passiert so und ist auch nicht problematisch.
    > Das ist die Sache mit dem keygen-Formular.
    >
    > Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt
    > kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen.

    Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das
    ebenfalls über ein keygen-Formular.

    > Und das ist nicht gut. Ist allerdings kein Problem von StartSSL
    > sondern von vielen CAs. Es gab vor einer Weile dazu eine Diskussion im
    > CA/Browser-Forum, ob man das verbieten sollte.

    URL?

    > Viele CAs haben sich dagegen gesträubt, weil sie argumentierten, dass
    > ihre Kunden nicht in der Lage sind, ein CSR zu erstellen, weil das zu
    > kompliziert ist.

    Ein CSR zu erstellen ist einfach (keygen Formular). Kompliziert (naja,
    auch nicht wirklich) ist es dann, den gerade erstellten Private Key aus
    dem Browser zu exportieren und am Server zu installieren (und
    sinnvollerweise im Browser zu löschen, denn dort hat er nichts
    verloren).

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Medion AG, Essen
  2. Statistisches Bundesamt, Wiesbaden
  3. MAINGAU Energie GmbH, Obertshausen
  4. Stadtverwaltung Kaiserslautern, Kaiserslautern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 69,90€ (Bestpreis!)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  3. täglich neue Deals bei Alternate.de
  4. mit Gutschein: NBBX570


Haben wir etwas übersehen?

E-Mail an news@golem.de


Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  2. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49