1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Teams-Ausfall: Microsoft vergisst…

abgelaufene Zertifikate sind skurril

  1. Thema

Neues Thema Ansicht wechseln


  1. abgelaufene Zertifikate sind skurril

    Autor: Kretikus 04.02.20 - 06:30

    Echt komisch, en Zertifikat welches noch vor einer Minute perfekt war, ist plötzlich unbrauchbar.
    Warum? Ist es unsicher geworden? Was ist der 'richtige' Umgang mit abgelaufenen Zertifikaten?

    Ach waren das für Diskussionen mit meinen Kollegen, wie wir mit abgelaufenen Entitäten in unserer PKI umgehen sollen. Letztendlich galt es eine Warnung anzuzeigen, das das Kryptomaterial "verbraucht" und "aufgefrischt" werden sollte. Kommunizieren könnte man aber dennch weiterhin.

    Bei SSL ist das Ablaufdatum eigentlich nur ein Geschäftsmodell.

  2. Re: abgelaufene Zertifikate sind skurril

    Autor: Orwell84 04.02.20 - 07:16

    Die Wahrscheinlichkeit, dass ein Zertifikat über die Zeit kompromittiert wird, steigt, mal ganz davon abgesehen, dass sich verwendete Ciphers als untauglich erweisen können.

    Folglich ist es sehr sinnvoll, dass Zertifikate ablaufen und nach 1-3 Jahren erneuert werden.

    Wer das nicht tut, sollte sich bitte nicht mit Sicherheit beschäftigen und das lieber anderen überlassen.

  3. Re: abgelaufene Zertifikate sind skurril

    Autor: RicoBrassers 04.02.20 - 07:50

    Es geht dabei doch primär um den Zweck, dass - im Falle einer Kompromittierung - der mögliche Schaden begrenzt wird.

    Anstatt sich eben >= 5 Jahre als Server XY ausgeben zu können, kann sich dann ein Angreifer eben bspw. maximal 2 Jahre als Server XY ausgeben (oder eben ein halbes Jahr, wenn das Zertifikat bereits 1,5 Jahre im Einsatz war).

    Unbenutztes Geschirr in der Gastronomie wird auch wieder gewaschen, bevor es wieder ausgegeben wird. Da könnte man ja auch argumentieren: "Ist doch noch perfekt." - Aber es fehlt nunmal die Gewissheit. Da ist es einfacher, das eigentlich unbenutzte Geschirr neu zu waschen um nicht das Risiko einzugehen, der Kundschaft "dreckiges" (Viren, Bakterien, etc.) Geschirr und Besteck auszuhändigen.

  4. Verschlüsselung und Authentizität

    Autor: elgooG 04.02.20 - 08:10

    Du verwechselst hier zwei grundsätzliche Dinge: Verschlüsselung und Authentizität. Die Signaturkette der Zertifikate muss beides garantieren können.

    Wenn der Teams-Client nicht das Serverzertifikat prüfen kann, kann er nicht feststellen ob es sich überhaupt um einen Microsoft-Server handelt. Die Daten mögen zwar weiterhin sicher transportverschlüsselt sein, aber der Server kann trotzdem alle Daten lesen die dein Client sendet, selbst dann wenn es zB ein Angreifer ist der DNS-Spoofing verwendet oder andere Man-In-The-Middle-Angriffe durchführt.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  5. Re: abgelaufene Zertifikate sind skurril

    Autor: Peter Brülls 04.02.20 - 09:14

    Kretikus schrieb:
    --------------------------------------------------------------------------------

    >
    > Ach waren das für Diskussionen mit meinen Kollegen, wie wir mit
    > abgelaufenen Entitäten in unserer PKI umgehen sollen. Letztendlich galt es
    > eine Warnung anzuzeigen, das das Kryptomaterial "verbraucht" und
    > "aufgefrischt" werden sollte. Kommunizieren könnte man aber dennch
    > weiterhin.


    Und genau das trainiert Anwender dann darauf, Meldungen ernst zu nehmen.

    Oh teams ging weiter?
    Die Website kommt trotzdem?
    Ach, jetzt plappert auch der Bankrechner was von unsicherer Verbindung? Na dann.

  6. Re: abgelaufene Zertifikate sind skurril

    Autor: elknose 04.02.20 - 20:46

    Ein sinnvollerer Umgang wäre für eine Übergangsphase nach dem Ablauf langsam die Latenz hochzudrehen .. geht noch .. ist aber langsam .. das könnte sogar einfach noch im letzten Monat der Gültigkeit anfangen.

    Das wird dann genauso gemeldet .. die Zertifikate werden dann auch getauscht .. nur gibt es so dann wenigstens keine Infrastrukturapokalypsen.

    Bei Autoreifen funktioniert das ja auch ganz gut, da hat keiner Lust, dass die Dinger nach genau 40.000 km dann im Zweifel mitten auf der Autobahn platzen .. da achtet auch jeder so drauf, dass die regelmäßig gewechselt werden.



    1 mal bearbeitet, zuletzt am 04.02.20 20:48 durch elknose.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. IT-POWER4You GmbH, Hamburg
  2. über duerenhoff GmbH, Raum Düsseldorf
  3. Dataport, verschiedene Einsatzorte
  4. Grand City Property (GCP), Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


    Coronavirus: Spiele statt Schule
    Coronavirus
    Spiele statt Schule

    Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
    Von Rainer Sigl

    1. CCC "Contact Tracing als Risikotechnologie"
    2. Coronapandemie Robert Koch-Institut sammelt Gesundheitsdaten von Sportuhren
    3. Google Chrome rollt Regeln für Same-Site-Cookies vorerst zurück