-
Zertifikate nachinstallieren - Broken by Design
Autor: Osterschlumpf 22.02.15 - 18:13
So viel wie ich von Verschlüsselung halte, aber so lange wie man einfach Zertifikate nachinstallieren kann und damit jede SSL-Verschlüsselung brechen kann, ist SSL für mich Broken by Design.
Wie man hier sieht, hindert niemand die bösen Leute, einfach ein Zertifikat nach zu installieren. Der User klickt schon auf "Ja, ich will installieren", will er ja auch, weil er denkt das neue Spiel gratis bekommen zu haben. Und hintenrum hat er die Tore weit geöffnet.
Ich kann nur sagen: Schaut Euch Threema an. Die höchste Sicherheit wird erst dann gewährt, wenn man sich ein QR-Code gegenseitig abscannt. So muss verschlüsselung laufen. Einfach und funktionell. Und im Hintergrund läuft das System vernünftig, aber ohne daß sich der User um Schlüssel und co. kümmern muss. Natürlich ist das bei SSL schwerer, aber hier muss eine ähnliche Lösung her. -
Re: Zertifikate nachinstallieren - Broken by Design
Autor: nicoledos 22.02.15 - 23:09
Das ganze SSL ist kaputt und sollte gegen etwas neuen sicheres abgelöst werden.
Das Nachinstallieren von Zertifikaten ist nicht das Problem. Es ist sogar besser Zertifikate vertrauenswürdiger Quellen selbst zu installieren, als wie bisher einen Strauss unbekannter Anbieter im System stecken zu haben. Dass aber derartige MiM-Attacken möglich sind schon.
1 mal bearbeitet, zuletzt am 22.02.15 23:10 durch nicoledos. -
Re: Zertifikate nachinstallieren - Broken by Design
Autor: HiddenX 22.02.15 - 23:58
> Es ist sogar
> besser Zertifikate vertrauenswürdiger Quellen selbst zu installieren
Und das bring dem normalen User mal bei. -
Re: Zertifikate nachinstallieren - Broken by Design
Autor: Moe479 23.02.15 - 07:45
in einer umgebung die vertrauenswürdig sein soll, sollte schon einmal nicht jeder admin spielen dürfen.
-
Re: Zertifikate nachinstallieren - ist schon richtig
Autor: staeff 23.02.15 - 08:21
Ich als nutzer möchte z.B. gern meinen eigenen System vertrauen. Insofern sind eigene Zertifikate sehr sinnvoll.
Was aber gar nicht gehen darf ist, dass irgendjemand Zertifikate auf google.com oder andere Domains, die ihn nichts angehen, ausstellen darf. Das ist das problem bei der aktuellen Chain of Trust. -
Re: Zertifikate nachinstallieren - Broken by Design
Autor: matok 23.02.15 - 10:51
Osterschlumpf schrieb:
--------------------------------------------------------------------------------
> Ich kann nur sagen: Schaut Euch Threema an. Die höchste Sicherheit wird
> erst dann gewährt, wenn man sich ein QR-Code gegenseitig abscannt. So muss
> verschlüsselung laufen. Einfach und funktionell.
Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu unbequem, muss man sich dafür (wenn es so laufen soll, wie hier) treffen, ist das für P2P Verbindungen gut, aber nicht für den HTTP Traffic. Und, wo du extra Threema ansprichst, ist der Aufwand nicht viel wert, wenn man trotzdem nicht weiß, was der Quellcode sonst noch so macht.



