1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Let's Encrypt muss drei…

Privacy-Gau

  1. Thema

Neues Thema Ansicht wechseln


  1. Privacy-Gau

    Autor: AynRandHatteRecht 03.03.20 - 18:33

    Die von LE bereitgestellte Datei mit Zertifikatsinformationen enthält auch die Account-ID. Darüber lässt sich eine Rückwärtssuche durchführen und damit auch andere CN/Zertifikate des Accounts ermitteln.

    Das ist ziemlich lame, denn die Account-ID ist hier nicht hilfreich oder notwendig gewesen.

  2. Re: Privacy-Gau

    Autor: kieleich 03.03.20 - 19:51

    Das ist sowieso alles öffentlich.

    Bei mir ist jedes neue Zertifikat auch ein neuer Account.

  3. Re: Privacy-Gau

    Autor: AynRandHatteRecht 03.03.20 - 21:47

    kieleich schrieb:
    --------------------------------------------------------------------------------
    > Das ist sowieso alles öffentlich.

    nein ist es nicht.

  4. Re: Privacy-Gau

    Autor: kieleich 03.03.20 - 23:10

    Wenn du meinst. Wie auch immer.

    In der Liste sind überhaupt nur 2% aller Letsencrypt-Zertifikate drin und nach der Account-ID zu greppen ist nun mal einfacher als nach $Liste-aller-Domains-hier.

    Du kannst es ja mal im Letsencrypt-Forum ansprechen, bis jetzt ist da ziemlich Funkstille zu dem Thema.

  5. Re: Privacy-Gau

    Autor: Schattenwerk 03.03.20 - 23:16

    Das ist für dich ein größter anzunehmender Unfall? Dann hast du aber ziemlich dünne Haut.

    Wenn das ein Problem ist, dann kannst du ja für jede Domain ein eigenen Account verwenden.

    Und als nächstes erzählst du dann, dass die Zertifikatssuche ein Privacy-Gau ist weil ich darin mir alle Zertifikate anzeigen lassen kann, welche für die Domain *.abc.xyz erstellt wurden und kann somit Subdomains von Intranet-Adressen auslesen?

    z.B. https://crt.sh/?q=heise.de

    > intern.heise.de

  6. Re: Privacy-Gau

    Autor: AynRandHatteRecht 03.03.20 - 23:57

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Das ist für dich ein größter anzunehmender Unfall? Dann hast du aber
    > ziemlich dünne Haut.
    >
    > Wenn das ein Problem ist, dann kannst du ja für jede Domain ein eigenen
    > Account verwenden.
    >
    > Und als nächstes erzählst du dann, dass die Zertifikatssuche ein
    > Privacy-Gau ist weil ich darin mir alle Zertifikate anzeigen lassen kann,
    > welche für die Domain *.abc.xyz erstellt wurden und kann somit Subdomains
    > von Intranet-Adressen auslesen?
    >
    > z.B. crt.sh
    >
    > > intern.heise.de

    Um CT geht es doch garnicht. Natürlich sind alle Domains öffentlich im CT Log einsehbar, aber welche Domains in einem LE-Account liegen, ist darüber nicht herausfindbar.

  7. Re: Privacy-Gau

    Autor: Schattenwerk 04.03.20 - 00:18

    In meinen Augen genau so ein Privacy-Gau wie die ursprüngliche Aussage.

    Darauf wollte ich hinaus. Es ist einfach kein Gau. Das ist typisches Internet-Drama. Es ist vielleicht unschön aber kein Gau. Darum geht es mir.

    Nachtrag: Ein Privacy-Gau wäre es, wenn in jedem Zertifikat die E-Mail-Adresse des Accounts drin stehen würde. Das könnte man als Gau bezeichnen.



    1 mal bearbeitet, zuletzt am 04.03.20 00:19 durch Schattenwerk.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DB Systel GmbH, Frankfurt (Main)
  2. Staatliche Lotterieverwaltung, München
  3. Stadt Achim, Achim
  4. Ganter Interior GmbH, Waldkirch

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. This War of Mine für 6,99€, Mount & Blade 2: Bannerlord für 42,49€, Tales of Vesperia...
  2. (u. a. Backen zu Ostern, Frühjahrsangebote mit reduzierter Hardware, PC-Zubehör und mehr)
  3. 33€ (Bestpreis!)
  4. (u. a. Fortnite - Legendary Rogue Spider Knight Outfit + 2000 V-Bucks Bundle (DLC) - Xbox One...


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Hamsterkäufe: App soll per Blockchain Klopapiermangel vorbeugen
    Hamsterkäufe
    App soll per Blockchain Klopapiermangel vorbeugen

    Das Bundesamt für zentrale Wirtschaftsplanung will gegen Hamsterkäufe von Klopapier vorgehen. Einkauf und Verbrauch sollen künftig nur noch mit einer Online-Registrierung möglich sein.

  2. Coronapandemie: "Gamescom findet in jedem Fall statt"
    Coronapandemie
    "Gamescom findet in jedem Fall statt"

    Verschiebung ausgeschlossen: Die Gamescom findet zum bekannten Datum statt - notfalls in digitaler Form.

  3. Trotz Boykott: Huawei steigert Einkäufe aus den USA um 70 Prozent
    Trotz Boykott
    Huawei steigert Einkäufe aus den USA um 70 Prozent

    Der Huawei-Vorstandsvorsitzende Eric Xu erwartet Vergeltungsmaßnahmen von der chinesischen Regierung, falls die USA den Boykott verschärfen.


  1. 07:42

  2. 17:42

  3. 17:21

  4. 17:06

  5. 16:18

  6. 15:48

  7. 15:33

  8. 15:18