Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Auch Apple wendet…

Jetzt fehlt noch ein Regelignorant

  1. Thema

Neues Thema Ansicht wechseln


  1. Jetzt fehlt noch ein Regelignorant

    Autor: negecy 05.10.16 - 20:22

    namens Let's Encrypt und das generelle Verbot der ungeeigneten DV-Zertifikate, dann könnte das auch mit der Vertrauenswürdigkeit im Netz wieder was werden.

  2. Re: Jetzt fehlt noch ein Regelignorant

    Autor: My1 05.10.16 - 20:47

    DV Zertifikate sind schon praktisch für alles wo es nicht bedeutend ist alles hin und her zu prüfen. jemand mit nem einfachen blog oder forum hat nicht die kohle für EV oder so geschweigedenn die möglichkeit dafür denn EVs sind bekanntlich nur unternehmen etc vorbehalten.

    und ich denke der user hat trotz alledem das recht darauf dass die daten sicher beim forum oder so ankommen denn http ohne s wird ja immer wieder für "böse" erklärt.

  3. Re: Jetzt fehlt noch ein Regelignorant

    Autor: Käx 05.10.16 - 21:26

    negecy hat schon Recht... Das aktuelle Zertifikatsystem differenziert nicht richtig zwischen EV und DV und allem was dazwischen liegt. Ein EV Zertifikat wird bereits entsprechend angezeigt und sollte vom Browser auch forciert werden, sofern die Seite aussieht wie zB eine Online Banking Seite. Jeder Idiot kann sich heute eine gefakte Seite mit 256bit AES GCM TLS 1.2 Verschlüsselung einrichten dank der DV Zertifikate. Registrier Dir volkbank.de und das DV Zertifikat bekommst um 5$ SSLS.com. Fishing made easy. => Alles was nach Banking aussieht muss EV sein oder Browser zeigt es als untrusted an.

    Hier scheitert aber auch viel an Zertifizierungsstellen und Browser-Herstellern. Es gäbe längst Handlungsbedarf und Bedarf nach "neuen" Zertifikatsprodukten:
    DV Zertifikate sollten als Low-Trust im Browser gekenzeichnet sein. zB als violette Bar "Private Website" für DV Zertifikate links neben der URL. OV Zertifkate für Firmen als "Blue Bar" ausgezeichnet als Firmenwebsite. EV als Green Bar für Website die streng vertrauliche Daten handhaben. EV Domain Seiten sollten in dem Zuge auch ausschließlich TLS 1.2 verwenden sollen mit sowas wie ECDHE-AES-GCM. Diese Standards gehören von den Browsern forciert. Eine EV Website, die SSL2 RC4 zulässt erfüllt zwar das Authentizitätskriterium nicht aber die Vertraulichkeit. Das sind 2 paar Schuhe.



    1 mal bearbeitet, zuletzt am 05.10.16 21:32 durch Käx.

  4. Re: Jetzt fehlt noch ein Regelignorant

    Autor: Varbin 05.10.16 - 22:02

    Deine Idee ist gar nicht mal schlecht, obwohl die Banken bereits heute auf EV-Zertifikate hinweisen (und sie trotzdem ignoriert werden): Doch ein Problem sehe ich dabei. Dardurch würden (teure) OV- und EV-Zertifikate ein Marketingfaktor. Dardurch würden wiederum kleine Unternehmen mit kleinem IT-Budget noch schlechter im Vergleich zu großen Firmen darstehen, da sich die kleineren Firmen für die(günstigen bis gratis) DV-Zertifikate entscheiden würden.

  5. Re: Jetzt fehlt noch ein Regelignorant

    Autor: My1 05.10.16 - 22:06

    "Alles was nach Banking aussieht muss EV sein oder Browser zeigt es als untrusted an. "

    und woher will der browser das überhaupt wissen

    also SSL2 RC4 macht eh kein browser mehr mit, jedoch sind manche sachen (TLS1.0) bei vielen noch wegen kompatibilität drin.

    dass man DV und OV unterscheiden sollte ist klar aber nicht gleich als "schlecht" bezeichnen. es reicht ja aus vernünftig zu erklären dass eben nicht sichergestellt werden kann wer hinter der adresse steckt, aber eben der fakt dass es sich um den inhaber handelt.

    aber auch bei seiten wo nicht zu viel passiert (bspw reine showcase seiten von firmen) da reicht mMn auch n DV.

    was aber wichtig ist dass man man das preismodell ändert und in richtung von startssl schiebt weil die idee nur für das zu zahlen was auch groß kosten verursacht (verifizierung) aber eben nicht bspw für die anzahl der namen etc. wäre toll



    1 mal bearbeitet, zuletzt am 05.10.16 22:08 durch My1.

  6. Re: Jetzt fehlt noch ein Regelignorant

    Autor: knalli 05.10.16 - 23:39

    Käx schrieb:
    --------------------------------------------------------------------------------
    > TLS 1.2 Verschlüsselung einrichten dank der DV Zertifikate. Registrier Dir
    > volkbank.de und das DV Zertifikat bekommst um 5$ SSLS.com. Fishing made
    > easy. => Alles was nach Banking aussieht muss EV sein oder Browser zeigt es
    > als untrusted an.

    Das würde ich aber erstmal versuchen wollen. Tatsache ist: StartCom hat schon vor Jahren bei kostenlosen Zertifikaten grundsätzlich Subdomains gefiltert (völlig egal, ob die eigentliche Domain bereits verifiziert war), die wohl Schlüsselwörter wie bspw. "payment" im Namen haben. Gefiltert meint hier: verweigert.

    * Nun ja, das wird beim Phising aber kein Problem sein. Dann nimmt man halt ein Sonderzeichen, einen nicht ganz offensichtlichen Schreibfehler oder sonstiges und umgeht die Prüfung. Links liest sich eh keiner (die anderen da draussen) richtig durch.

    Sobald da bestimmte Schlüsselworte (dazu dürfte auch "bank" zählen"), wird die Anfrage scheinbar zumindest einmal manuell gesichtet. Bei bezahlten Zertifikaten kommt es dann darauf an (also auf die CA).

    Aus eigener Erfahrung von vor ein paar Jahren: Man macht nicht mal eben einen CA-Account bei einer CA (damals tatsächlich sogar auch StartCom, bei denen muss man zunächst die Person, dann das Unternehmen und anschließend erst das eigentliche Zertifikat anfragen/bestätigen lassen). Da sind jeweils (bis auf das eigentliche Server/SSL-Zertifikat) einige Runden zu durchlaufen.

    Das Prozedere ist aber eben nicht einheitlich, wenngleich manche (wie eben jetzt Mozilla in der Rolle als Provider, aber auch Apple oder Google) durchaus aufzeigen, wie durch Transparenz-Protokolle und niedergeschriebenen Regeln eine Struktur existiert und geprüft werden muss.

  7. Re: Jetzt fehlt noch ein Regelignorant

    Autor: Drag_and_Drop 06.10.16 - 01:15

    Was ein Bullshit. Kostenlose Certs sind ein Segen
    Ok, ja DV ist für kritische sachen nicht ideal, aber das wir generell https brauchen, egal, ob Blog, Firmenwebseite oder kleines Forum, hat snowden doch ganz klar gezeigt und ich kann dem Handwerksmeister von der ecke nicht verkaufen, das ich pro jahr gerne 300¤ nur für das Cert von ihm haben möchte + Serverkosten.

    Eine klarere Abstufung (die Idee mit dem Farbcode find ich nicht schlecht, allerdings bezweifle ich, dass das durchschnittliche phishing opfer darauf achten würde) und endlich mal ein vernünftiges Kategorisieren im Header Tag, damit man payment und sensible Seiten klar als solche kategorisieren kann, würden schon viel bringen.

    Aber wenn ich mal gerade so durch meinen GMX spam gehe, sind die domains oft gar nicht mal verschleiert (bei Paypal z.B. ist sogut wie nie paypal im Adressnamen)
    Die User müssten einfach gennerel stärker darauf achten, dass das EV Cert auch das ist, was Angezeigt wird, wenn man das mal geschafft hat, ist schon viel gewonnen

  8. Re: Jetzt fehlt noch ein Regelignorant

    Autor: quasides 06.10.16 - 02:13

    Ich stimme zu muss aber noch weiter gehen.

    In der Realität sollte es gar keinen zwang zur verifikation von regulären (akaDV) Certs geben. Das ist Unsinn und ein künstlich geschaffener Markt.

    Der Regelanwendungsfall für solche Certs ist in der erste Linie die Kommunikation zu sichern. Nicht mehr nicht weniger. Das sollte von Hausaus ohne Sicherheitswarnung funktionieren.

    Speziell geprüfte Certs die auch die Webseite selbst verifizieren sollten ein eigenes Ding sein.


    In der Praxis spiele diese nämlich keine Rolle. Der großteil der User weis nicht was https heist bzw SSL überhaupt ist. Nur die wenigsten prüfen ein Zertifikat, wie auch wo die meisten User gar nicht wissen was das ist.

    Dazu kommt das es auch falsche Sicherheitsgefühl bringt und pishing erst Recht ermöglichen kann. Da gibts zb ein speziell für betimmte Banken abgestimmten Trojaner der alle Kommunikation über einen Proxyserver leitet und auf den entsprechenden Bankenseiten einfach eigene Inhalte einfügt.

    Der user sieht ein reguläres korretes Zertifikat und auch die echte Bankenseite, die falsche inhalte sind für ihn technsich nicht zu unterscheiden.

    Sprich die toll geprüften Zertifikate bringen nur selten etwas. Viele Firmen grad in der Finanzbranche fühlen sich genötigt diese zu haben, in der Praxis bringen tuts aber wahrlich wenig bis nichts.


    Viel wichtiger wäre eine allgemeine absicherung der KOmmunikation, alle End zu End Kommunikation muss verschlüsselt werden, grad in zeiten von massiver Mobiler nutzung und öffentlichen Hotspots

  9. Re: Jetzt fehlt noch ein Regelignorant

    Autor: avon 06.10.16 - 11:26

    negecy schrieb:
    --------------------------------------------------------------------------------
    > namens Let's Encrypt

    Let's Encrypt wird es aber nicht so schnell erwischen, da sowohl Chrome als auch Mozilla zu den Sponsoren gehören.

  10. Re: Jetzt fehlt noch ein Regelignorant

    Autor: negecy 06.10.16 - 21:34

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Der Regelanwendungsfall für solche Certs ist in der erste Linie die
    > Kommunikation zu sichern. Nicht mehr nicht weniger. Das sollte von Hausaus
    > ohne Sicherheitswarnung funktionieren.

    Das ist aber eben ja grundlegend falsch. Man hätte keine Zertifikate gebraucht, würde es nur um die Verschlüsselung gehen, dazu wäre der vorab stattfindende Handshake mit Zertifikat völlig unnötig. Man hat sich damals aber durchaus etwas dabei gedacht, das so umzusetzen, nur Geiz-ist-geil geht halt andere Wege. Meinetwegen ist das neue http halt grundsätzlich verschlüsselt, aber für https (oder wie auch immer, aber eben klar und eindeutig unterscheidbar) braucht man ein valides Zertifikat und nicht so einen DV-Bullshit.

    > In der Praxis spiele diese nämlich keine Rolle. Der großteil der User weis
    > nicht was https heist bzw SSL überhaupt ist. Nur die wenigsten prüfen ein
    > Zertifikat, wie auch wo die meisten User gar nicht wissen was das ist.

    Schlimm genug, denn genau jene sind doch genau die Opfer. Jetzt aber alles nur auf https zu setzen, ohne dem Zertifikat noch Bedeutung beizumessen, und genau das geschieht derzeit, macht alle bisher erfolgten Sensibilisierungsmaßnahmen (achtet auf https) zunichte. Genau das finde ich absolut schwachsinnig.

    > Viel wichtiger wäre eine allgemeine absicherung der KOmmunikation, alle End
    > zu End Kommunikation muss verschlüsselt werden, grad in zeiten von massiver
    > Mobiler nutzung und öffentlichen Hotspots

    Wie soll das aber anders funktionieren? Zertifikate müssen natürlich gesichert ausgestellt, gesichert dargestellt und einfache Möglichkeiten zur Überprüfung (ohne Fälschbarkeit) geschaffen werden, da gibt es für TAN-Verfahren doch auch bereits Lösungen, 2-Faktor ist das Stichwort, End-to-End bringt doch gar nichts, das sind ja auch die DV-Schrottdinger, nur wenn das End ein Phisher, Cyberkrimineller oder sonst was ist, war es super, dass es End-to-End verschlüsselt war.

  11. Re: Jetzt fehlt noch ein Regelignorant

    Autor: negecy 06.10.16 - 21:35

    avon schrieb:
    > Let's Encrypt wird es aber nicht so schnell erwischen, da sowohl Chrome als
    > auch Mozilla zu den Sponsoren gehören.

    Und genau das ist doch schlimm genug, der Auditor sollte nicht gleichzeitig der Auditierende sein, dann kann nur noch Müll dabei herauskommen.

  12. Re: Jetzt fehlt noch ein Regelignorant

    Autor: My1 06.10.16 - 21:44

    negecy schrieb:
    --------------------------------------------------------------------------------
    > quasides schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Regelanwendungsfall für solche Certs ist in der erste Linie die
    > > Kommunikation zu sichern. Nicht mehr nicht weniger. Das sollte von
    > Hausaus
    > > ohne Sicherheitswarnung funktionieren.
    >
    > Das ist aber eben ja grundlegend falsch. Man hätte keine Zertifikate
    > gebraucht, würde es nur um die Verschlüsselung gehen, dazu wäre der vorab
    > stattfindende Handshake mit Zertifikat völlig unnötig. Man hat sich damals
    > aber durchaus etwas dabei gedacht, das so umzusetzen, nur Geiz-ist-geil
    > geht halt andere Wege. Meinetwegen ist das neue http halt grundsätzlich
    > verschlüsselt, aber für https (oder wie auch immer, aber eben klar und
    > eindeutig unterscheidbar) braucht man ein valides Zertifikat und nicht so
    > einen DV-Bullshit.

    DV ist schon sinnvoll. gerade kleinere seiten etc. so ne Valiierung kostet ja auch un EV geht für Privatpersonen ja gar nicht.

    > > In der Praxis spiele diese nämlich keine Rolle. Der großteil der User
    > weis
    > > nicht was https heist bzw SSL überhaupt ist. Nur die wenigsten prüfen
    > ein
    > > Zertifikat, wie auch wo die meisten User gar nicht wissen was das ist.
    >
    > Schlimm genug, denn genau jene sind doch genau die Opfer. Jetzt aber alles
    > nur auf https zu setzen, ohne dem Zertifikat noch Bedeutung beizumessen,
    > und genau das geschieht derzeit, macht alle bisher erfolgten
    > Sensibilisierungsmaßnahmen (achtet auf https) zunichte. Genau das finde ich
    > absolut schwachsinnig.

    true

    > > Viel wichtiger wäre eine allgemeine absicherung der KOmmunikation, alle
    > End
    > > zu End Kommunikation muss verschlüsselt werden, grad in zeiten von
    > massiver
    > > Mobiler nutzung und öffentlichen Hotspots
    >
    > Wie soll das aber anders funktionieren? Zertifikate müssen natürlich
    > gesichert ausgestellt, gesichert dargestellt und einfache Möglichkeiten zur
    > Überprüfung (ohne Fälschbarkeit) geschaffen werden, da gibt es für
    > TAN-Verfahren doch auch bereits Lösungen, 2-Faktor ist das Stichwort,
    > End-to-End bringt doch gar nichts, das sind ja auch die DV-Schrottdinger,
    > nur wenn das End ein Phisher, Cyberkrimineller oder sonst was ist, war es
    > super, dass es End-to-End verschlüsselt war.
    naja deswegen sollte man die domain prüfen (oder U2F oder ähnliche nutzen, da U2F oder bspw SQRL auf die domain fixiert ist. da geht mit bspw deutschebnak.de oder so nix. und da es challenge response verfahren ist müsste man neben nem gültigem cert auch noch realtime phishing machen weil später wird das nix mehr.

  13. Re: Jetzt fehlt noch ein Regelignorant

    Autor: My1 06.10.16 - 21:45

    negecy schrieb:
    --------------------------------------------------------------------------------
    > avon schrieb:
    > > Let's Encrypt wird es aber nicht so schnell erwischen, da sowohl Chrome
    > als
    > > auch Mozilla zu den Sponsoren gehören.
    >
    > Und genau das ist doch schlimm genug, der Auditor sollte nicht gleichzeitig
    > der Auditierende sein, dann kann nur noch Müll dabei herauskommen.

    die sponsern den laden ja nur, der audit erfolgte iirc durch jemanden anderes.

  14. Re: Jetzt fehlt noch ein Regelignorant

    Autor: Sylvester Smith 10.10.16 - 11:52

    Käx schrieb:
    > Browsern forciert. Eine EV Website, die SSL2 RC4 zulässt erfüllt zwar das
    > Authentizitätskriterium nicht aber die Vertraulichkeit. Das sind 2 paar
    > Schuhe.

    I think RC4 is not in the market as per https://www.clickssl.net/blog/microsoft-is-set-to-retire-sha1-rc4



    2 mal bearbeitet, zuletzt am 10.10.16 11:57 durch Sylvester Smith.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Nürnberg, München, Rheinbach
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  3. DKV MOBILITY SERVICES Business Center, Ratingen
  4. Zentralinstitut für die kassenärztliche Versorgung, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 319,90€ (Bestpreis!)
  2. ab 23,60€
  3. (u. a. Akkuschrauber 25,99€, Schlagbohrmaschine 60,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

Cascade Lake AP/SP: Das können Intels Xeon-CPUs mit 56 Kernen
Cascade Lake AP/SP
Das können Intels Xeon-CPUs mit 56 Kernen

Während AMD seine Epyc-Chips mit 64 Cores erst im Sommer 2019 veröffentlichen wird, legt Intel mit den Cascade Lake mit 56 Kernen vor: Die haben mehr Bandbreite, neue Instruktionen für doppelt so schnelle KI-Berechnungen und können persistenten Speicher ansprechen.
Von Marc Sauter

  1. Cascade Lake Intel legt Taktraten der Xeon SP v2 offen
  2. Optane DC Persistent Memory So funktioniert Intels nicht-flüchtiger Speicher
  3. Cascade Lake AP Intel zeigt 48-Kern-CPU für Server

Leistungsschutzrecht: Das Lügen geht weiter
Leistungsschutzrecht
Das Lügen geht weiter

Selbst nach der Abstimmung über die EU-Urheberrechtsreform gehen die "Lügen für das Leistungsschutzrecht" weiter. Auf dieser Basis darf die Regierung nicht final den Plänen zum Leistungsschutzrecht zustimmen.
Eine Analyse von Friedhelm Greis

  1. Urheberrechtsreform Was das Internet nicht vergessen sollte
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

  1. Volkswagen: 5G bietet flexible Software-Betankung in der Produktion
    Volkswagen
    5G bietet flexible Software-Betankung in der Produktion

    Volkswagen will mit 5G in der Produktion flexibel große Datenmenge in die Fahrzeuge einspielen. Campusnetze könnten auch zusammen mit Netzbetreibern laufen.

  2. Amazon vs. Google: Youtube kommt auf Fire TV, Prime Video auf Chromecast
    Amazon vs. Google
    Youtube kommt auf Fire TV, Prime Video auf Chromecast

    Fire-TV-Geräte erhalten erstmals eine offizielle Youtube-App von Google. Dafür integriert Amazon eine Chromecast-Unterstützung in die Prime-Video-App. Andere Streitpunkte zwischen Amazon und Google bleiben hingegen bestehen.

  3. E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus
    E-Learning-Plattform
    Mysteriöses Datenleck bei Oncampus

    Bei der deutschen E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. Der Betreiber weiß bisher nicht genau, was passiert ist.


  1. 18:20

  2. 17:59

  3. 16:31

  4. 15:32

  5. 14:56

  6. 14:41

  7. 13:20

  8. 12:52