1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Zertifikate sind in den meisten Fällen nutzlos

  1. Thema

Neues Thema Ansicht wechseln


  1. Zertifikate sind in den meisten Fällen nutzlos

    Autor: Komischer_Phreak 16.12.14 - 16:27

    Zertifikate sind in den meisten Fällen nutzlos. Denn nur sehr wenige User sind technisch versiert, und klicken blind auf den Schalter, dem Zertifikat zu trauen - ohne auch nur das geringste Verständnis, was die Meldung bringt.

    Dazu kommt ein grundlegendes Problem der verwendeten Technik. Wenn es um Sicherheit geht und das Gespräch auf "Vertrauen" kommt, dann geht es an dem Punkt nicht mehr um Sicherheit, sondern um eine Ausrede, warum einem nichts sinnvolles eingefallen ist. Wenn Vertrauen herrscht, benötigt man schließlich keine Zertifikate, interessant ist das ganze doch erst, wenn man jedem misstraut... Das Zertifikatssystem ist für die Katz. Verschlüsselung ist sinnvoll, aber dafür würde rein technisch ein selbstgenerierter Key ausreichen; gern auch pro Session.

    Für die Verifizierung der Quelle existiert derzeit noch keine sinnvolle integrierte Technologie. Wer es nicht glauben will, sollte mal nachlesen, wie Edward Snowden das gemacht hat, kurz bevor er mit den Daten an die Öffentlichkeit gegangen ist. Vertrauen in Zertifikatsstellen war jedenfalls dafür nicht vonnöten - im Gegenteil, das Misstrauen war hier oberstes Gebot.



    1 mal bearbeitet, zuletzt am 16.12.14 16:27 durch Komischer_Phreak.

  2. Re: Zertifikate sind in den meisten Fällen nutzlos

    Autor: Nocta 16.12.14 - 23:31

    Wenn dem Zertifikat nicht getraut wird, dann macht das manche ahnungslose Nutzer aber immerhin vorsichtig, vielleicht fragen sie auch bei jemanden nach, der sich auskennt.

    Und dass das Zertifikat NICHTS bringt, nur weil es von manchen Parteien missbraucht werden kann (Geheimdienste, Hacker), ist auch übertrieben. Dem Otto-Normal-Verbraucher kann es zB trotzdem nützen, wenn er einige Angriffe von irgendwelchen Skript-Kiddies abwehren kann. Ob die Verschlüsselung bzw die Integrität nun von Geheimdiensten oder versierteren Angreifern ignoriert werden kann, macht es immer noch im schlimmsten Fall so unsicher wie HTTP ohne solche Maßnahmen. Also: Man kann nur gewinnen.
    Außer natürlich man denkt "Oh, HTTPS, jetzt bin ich 100% sicher". Wenn man dann leichtfertiger ist als sonst, dann kann natürlich noch mal mehr schief gehen.

    Aber nun ja, ich bin auch für einen besseren Ansatz, der designbedingt etwas mehr Vertrauen erweckt

  3. Re: Zertifikate sind in den meisten Fällen nutzlos

    Autor: spiderbit 17.12.14 - 00:49

    ja genau das ist wohl auch teil dessen warum ich den Thread:

    "einfachere Einrichtung" gestartet habe. Ich traue den Firmen eh nicht, also will ich eigentlich gar keine Zertifizierung, ich will nur verschluesselung, und dazu braucht man komplizierte Zertificatbefehle. Das ist wie wenn man mich zwingen wuerde mit nem Presslufthammer nen Nagel in die Wand zu schlagen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Dr. Beck & Partner GbR, Nürnberg
  2. IT-Solution Architekt (m/w/x)
    Amnesty International Deutschland e.V., Berlin
  3. Spezialist Stammdatenmanagement Betriebsmittel (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. SAP MM Berater (m/w/x)
    über duerenhoff GmbH, Fürth

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. LG 75NANO999NA NanoCell 75 Zoll LCD 8K für 2.699€)
  2. 42,99€ pro Monat über 24 Monate Laufzeit, 45,98€ einmalige Kosten bei o2
  3. 182,90€ (Bestpreis)
  4. (u. a. Transcend 220S 1TB PCIe-SSD für 135,90€, Thermaltake Toughram RGB 16GB DDR4-3200 Kit für...


Haben wir etwas übersehen?

E-Mail an news@golem.de