1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Mozilla, Cloudflare und Apple…

Henne-Ei-Prolbem

  1. Thema

Neues Thema Ansicht wechseln


  1. Henne-Ei-Prolbem

    Autor: ChrisE 16.07.18 - 13:25

    Der Domainname wird bisher unverschlüsselt übertragen. Das soll verschlüsselt geschehen. Dazu soll das Zertifikat z.B. per DNS over HTTPS geholt werden. Wtf?
    Um also das Zertifikat für www.golem.de zu bekommen, muss der Client bei einem anderem Webserver anfragen, wie das Zertifikat für www.golem.de ist. Und wie komme ich an das Zertifikat für den DNS-Webserver? Gut, ein Angreifer bekommt nicht mit, dass ich www.golem.de aufrufen will, sondern nur, dass ich ne HTTPS-Verbindung zu einem DoH-Server aufgebaut habe und unter welchem Namen ich den angesprochen habe. Aber so ganz durchgängig ist die Verschlüsselung dann noch immer nicht...

  2. Re: Henne-Ei-Prolbem

    Autor: bloody 16.07.18 - 13:52

    ChrisE schrieb:
    --------------------------------------------------------------------------------
    > Der Domainname wird bisher unverschlüsselt übertragen. Das soll
    > verschlüsselt geschehen. Dazu soll das Zertifikat z.B. per DNS over HTTPS
    > geholt werden. Wtf?
    Nicht das Zert. Ein Schlüssel für den SNI. Hat mit dem Zert selbst nichts zu tun.

    > Um also das Zertifikat für www.golem.de zu bekommen, muss der Client bei
    > einem anderem Webserver anfragen, wie das Zertifikat für www.golem.de ist.
    Wieso das? Es geht um den SNI nicht das Zert.

    > Und wie komme ich an das Zertifikat für den DNS-Webserver? Gut, ein
    > Angreifer bekommt nicht mit, dass ich www.golem.de aufrufen will, sondern
    > nur, dass ich ne HTTPS-Verbindung zu einem DoH-Server aufgebaut habe und
    > unter welchem Namen ich den angesprochen habe. Aber so ganz durchgängig ist
    > die Verschlüsselung dann noch immer nicht...
    Ich glaub du verwechselst noch einige Dinge.

  3. Re: Henne-Ei-Prolbem

    Autor: ChrisE 16.07.18 - 14:24

    Stimmt, es wird nur der Schlüssel vom DNS-HTTPS-Server geholt. Ändert an dem Grundproblem, dass ne andere Instanz abgefragt wird aber nichts. Und bei DoH zieht das auch noch ziemliche Kreise.
    Ich will den Schlüssel für www.golem.de. Also frage ich dns.provider.com. Das will ich auch per HTTPS anfragen und schau dann erstmal bei dns.provider-provider.com. Das Ding signiert sich vielleicht selbst also wird hier mal mit unverschlüsseltem SNI kontaktiert. Ein Angreifer sieht wenigstens nur noch, dass ich dns.provider-provider.com kontaktieren will, aber nicht mehr.

  4. Re: Henne-Ei-Prolbem

    Autor: Tuxgamer12 16.07.18 - 14:35

    ChrisE schrieb:
    --------------------------------------------------------------------------------
    > Stimmt, es wird nur der Schlüssel vom DNS-HTTPS-Server geholt. Ändert an
    > dem Grundproblem, dass ne andere Instanz abgefragt wird aber nichts. Und
    > bei DoH zieht das auch noch ziemliche Kreise.
    > Ich will den Schlüssel für www.golem.de. Also frage ich dns.provider.com.
    > Das will ich auch per HTTPS anfragen und schau dann erstmal bei
    > dns.provider-provider.com. Das Ding signiert sich vielleicht selbst also
    > wird hier mal mit unverschlüsseltem SNI kontaktiert. Ein Angreifer sieht
    > wenigstens nur noch, dass ich dns.provider-provider.com kontaktieren will,
    > aber nicht mehr.

    Nein, in DOH wirst du wohl oder übel SNI nicht einmal implementieren, oder was soll das für Sinn ergeben?

    Gut, sieht man trotzdem noch, dass ich z.B. mit 9.9.9.9 rede - wow? Ich verstehe wirklich nicht, was dein Problem ist.

  5. Re: Henne-Ei-Prolbem

    Autor: bloody 16.07.18 - 15:23

    ChrisE schrieb:
    --------------------------------------------------------------------------------
    > Stimmt, es wird nur der Schlüssel vom DNS-HTTPS-Server geholt. Ändert an
    > dem Grundproblem, dass ne andere Instanz abgefragt wird aber nichts. Und
    > bei DoH zieht das auch noch ziemliche Kreise.
    > Ich will den Schlüssel für www.golem.de. Also frage ich dns.provider.com.
    > Das will ich auch per HTTPS anfragen und schau dann erstmal bei
    > dns.provider-provider.com. Das Ding signiert sich vielleicht selbst also
    > wird hier mal mit unverschlüsseltem SNI kontaktiert. Ein Angreifer sieht
    > wenigstens nur noch, dass ich dns.provider-provider.com kontaktieren will,
    > aber nicht mehr.

    SNI für DoH würde nur Sinn ergeben, wenn auf einer IP etliche DoH-Server auf dem selben Port laufen. da das aber weiterhin normale DNS-Server sind, ist das nicht der Fall.

  6. Re: Henne-Ei-Prolbem

    Autor: My1 16.07.18 - 15:30

    dazu kann man sich auch n IP cert holen. (dann spart man sich hostnamen im gamen für DNS.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. T e b i s Technische Informationssysteme AG, Martinsried bei München
  2. ESWE Versorgungs AG, Wiesbaden
  3. KION Group AG, Frankfurt am Main
  4. operational services GmbH & Co. KG, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. LG OLED55E97LA für 1.599 (inkl. 200€ Direktabzug, versandkostenfrei), Samsung...
  2. 18,00€ (bei ubi.com)
  3. 30,00€ (bei ubi.com)
  4. (u. a. Deadpool, Logan - The Wolverine, James Bond - Spectre, Titanic 3D)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern