1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Comodo stellt…

Bitte nicht auf Comodo herum hacken

  1. Thema

Neues Thema Ansicht wechseln


  1. Bitte nicht auf Comodo herum hacken

    Autor: /mecki78 17.03.15 - 12:44

    Die anderen Zertifizierungsstellen hätten das genauso gemacht. Auch die Aussage das Microsoft schuld ist, weil sie admin@ nicht gesichert hätten, kann ich so nicht akzeptieren. Das Dokument Baseline Requirements des CA/Browser-Forums kannte ich bis gerade eben noch nicht und das man folglich "admin, administrator, webmaster, hostmaster und postmaster" absichern muss, das war mir auch neu. Ich meine, das diese Adressen häufig als Domainkontaktadresse verwendet werden, das war mir bewusst, aber viele Domains haben z.B. domain@... als Kontaktadresse. Hier gibt es keinerlei verbindlichen Regeln von Seiten der ICANN, ergo hat auch Microsoft nicht wirklich was falsch gemacht, sie haben sich nur nicht so verhalten, wie CA Stellen das gerne hätten und wie sie es in irgend einen Dokument niedergeschrieben haben, was am Ende kein Schwein kennt. Der Fehler liegt hier im System, genauer gesagt, der Fehler IST hier das System.

    /Mecki

  2. Re: Bitte nicht auf Comodo herum hacken

    Autor: hannob (golem.de) 17.03.15 - 12:58

    Microsoft ist selbst Mitglied im CA/Browser-Forum und hat an den Baseline Requirements mitgearbeitet.

  3. Re: Bitte nicht auf Comodo herum hacken

    Autor: der kleine boss 17.03.15 - 13:01

    Doch, MS ist schuld. Jeder, der sich viel mit Domains und Zertifikaten beschäftigt, sollte die zu sichernden Adressen kennen. Allein schon aus phishing-Gründen sollte man diese Adressen sperren oder nur intern verwenden. Stell dir vor jemand bekommt eine mail von admin@live.de, da sollte man schon meinen, dass es vertrauenswürdig ist!

    (fixed)Golem Kommentar-Formular (bitte ausfüllen):
    ========================================
    Wer braucht das bitte?????
    Ich kann für ______¤ das gleiche von _______ haben!

  4. Re: Bitte nicht auf Comodo herum hacken

    Autor: RipClaw 17.03.15 - 13:04

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Der Fehler liegt
    > hier im System, genauer gesagt, der Fehler IST hier das System.

    Sicherer finde ich alternative Validierungsmethoden die Comodo auch anbietet:

    * HTTP Validierung:

    Eine Datei mit einem vorgegebenen Dateinamen und einem vorgegebenen Inhalt muss im Hauptverzeichnis der Domain abgelegt werden.
    Der Dateiname und der Inhalt hängen immer von der eingereichten Zertifikatsanforderung ab.

    * HTTPS Validierung:

    Das gleiche wie die HTTP Validierung, nur das die Datei über HTTPS abgerufen wird

    * DNS Validierung:

    Ein CNAME Eintrag muss erstellt werden mit einem vorgegebenen Namen und einer vorgegebenen Zieladresse. Wie bei der HTTP Validierung hängt beides von der Zertifikatsanforderung ab.

  5. Re: Bitte nicht auf Comodo herum hacken

    Autor: Truster 17.03.15 - 13:06

    der kleine boss schrieb:
    --------------------------------------------------------------------------------
    > . Stell dir vor jemand bekommt eine mail von admin@live.de, da
    > sollte man schon meinen, dass es vertrauenswürdig ist!

    uuh gruselig.

    Ich vertraue nur postmaster@domain.tld, das ist auch die einzige Adresse, die existieren _muss_.

  6. Re: Bitte nicht auf Comodo herum hacken

    Autor: /mecki78 17.03.15 - 13:16

    der kleine boss schrieb:
    --------------------------------------------------------------------------------
    > Jeder, der sich viel mit Domains und Zertifikaten
    > beschäftigt, sollte die zu sichernden Adressen kennen.

    Ich wette die meisten Domaininhaber kennen die nicht. Der Grund warum hier nichts schlimmeres passierst ist nur der, dass die meisten Domaininhaber auch nicht jedermann erlauben sich E-Mail Adressen für ihre Domains zu erstellen.

    /Mecki

  7. Re: Bitte nicht auf Comodo herum hacken

    Autor: /mecki78 17.03.15 - 13:24

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Microsoft ist selbst Mitglied im CA/Browser-Forum und hat an den Baseline
    > Requirements mitgearbeitet.

    Das liegt wohl daran, dass Microsoft sich selber als CA sieht, was sie in gewisser Weise wohl auch sind (Secure Boot, Windows Store, Entwickler Cersts), aber Microsoft ist eben auch keine 30 Mann Firma, bei Microsoft weiß bestimmt nicht nur die linke Hand oft nicht was die rechte macht, da weiß die linke Hand wohl oft nicht einmal, dass die rechte überhaupt existiert. Die Leute, die an der Erstellung dieses Dokumentes gearbeitet haben und die Leute, die den Server/die Domain live.fi erstellt haben, die kennen sich wahrscheinlich nicht einmal namentlich oder wissen überhaupt, dass der andere existiert.

    Statt einer Liste von Adressen hart festzulegen, hätten die lieber festlegen sollen dass sicherzustellen ist, dass die angegebene Adresse in den WHOIS Daten steht, denn admin@live.fi stand da z.B. nicht und die WHOIS Daten kann wirklich nur der Domaininhaber oder der Registrar ändern. Das wäre schon mal um einiges sicherer gewesen.

    /Mecki

  8. Re: Bitte nicht auf Comodo herum hacken

    Autor: /mecki78 17.03.15 - 13:27

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > * HTTP Validierung:
    >
    > Eine Datei mit einem vorgegebenen Dateinamen und einem vorgegebenen Inhalt
    > muss im Hauptverzeichnis der Domain abgelegt werden.
    > Der Dateiname und der Inhalt hängen immer von der eingereichten
    > Zertifikatsanforderung ab.

    Das ist ja noch gruseliger. Ich wette dagegen sind noch mehr Server nicht abgesichert. Denn ob das wirklich im Hauptverzeichnis liegt, das kann man von außen nicht prüfen (interne Redirects sieht man von außen nicht, auch nicht ob das wirklich aus einer Datei oder aus einer Datenbank kommt oder dynamisch per Skript erstellt wurde).

    > * DNS Validierung:
    >
    > Ein CNAME Eintrag muss erstellt werden mit einem vorgegebenen Namen und
    > einer vorgegebenen Zieladresse. Wie bei der HTTP Validierung hängt beides
    > von der Zertifikatsanforderung ab.

    Das ist das einzige Verfahren, dem ich meinen Segen geben würde.

    /Mecki

  9. Re: Bitte nicht auf Comodo herum hacken

    Autor: Anonymer Nutzer 17.03.15 - 13:30

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > hannob (golem.de) schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Microsoft ist selbst Mitglied im CA/Browser-Forum und hat an den
    > Baseline
    > > Requirements mitgearbeitet.
    >
    > Das liegt wohl daran, dass Microsoft sich selber als CA sieht, was sie in
    > gewisser Weise wohl auch sind (Secure Boot, Windows Store, Entwickler
    > Cersts), aber Microsoft ist eben auch keine 30 Mann Firma, bei Microsoft
    > weiß bestimmt nicht nur die linke Hand oft nicht was die rechte macht, da
    > weiß die linke Hand wohl oft nicht einmal, dass die rechte überhaupt
    > existiert. Die Leute, die an der Erstellung dieses Dokumentes gearbeitet
    > haben und die Leute, die den Server/die Domain live.fi erstellt haben, die
    > kennen sich wahrscheinlich nicht einmal namentlich oder wissen überhaupt,
    > dass der andere existiert.
    Dann IST Microsoft doch schuld!
    > Statt einer Liste von Adressen hart festzulegen, hätten die lieber
    > festlegen sollen dass sicherzustellen ist, dass die angegebene Adresse in
    > den WHOIS Daten steht, denn admin@live.fi stand da z.B. nicht und die WHOIS
    > Daten kann wirklich nur der Domaininhaber oder der Registrar ändern. Das
    > wäre schon mal um einiges sicherer gewesen.
    Kann sein, ändert aber nichts daran, dass die Regeln so sind.

  10. Re: Bitte nicht auf Comodo herum hacken

    Autor: RipClaw 17.03.15 - 13:37

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > * HTTP Validierung:
    > >
    > > Eine Datei mit einem vorgegebenen Dateinamen und einem vorgegebenen
    > Inhalt
    > > muss im Hauptverzeichnis der Domain abgelegt werden.
    > > Der Dateiname und der Inhalt hängen immer von der eingereichten
    > > Zertifikatsanforderung ab.
    >
    > Das ist ja noch gruseliger. Ich wette dagegen sind noch mehr Server nicht
    > abgesichert. Denn ob das wirklich im Hauptverzeichnis liegt, das kann man
    > von außen nicht prüfen (interne Redirects sieht man von außen nicht, auch
    > nicht ob das wirklich aus einer Datei oder aus einer Datenbank kommt oder
    > dynamisch per Skript erstellt wurde).

    Klar kannst du via SQL Injection bei einem CMS die Datei simulieren oder aber wenn du Schreibzugriff auf das Verzeichnis hast, da auch eine Datei reinlegen aber dann hast du ein größeres Problem als das jemand für deine Domain ein Zertifikat erstellt.

    > > * DNS Validierung:
    > >
    > > Ein CNAME Eintrag muss erstellt werden mit einem vorgegebenen Namen und
    > > einer vorgegebenen Zieladresse. Wie bei der HTTP Validierung hängt
    > beides
    > > von der Zertifikatsanforderung ab.
    >
    > Das ist das einzige Verfahren, dem ich meinen Segen geben würde.

    Let's Encrypt hat auch ein paar Interessante Verfahren.

    z.B. das man einen SSL VHost auf dem Server anlegt, mit einer nicht existenten Domain und einem selbstsignierten Zertifikat das mit dem gleichen Schlüssel signiert wurde wie die Zertifikatsanforderung.

    Der VHost wird via SNI geprüft und ist daher nicht im Konflikt mit anderen VHosts.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bechtle Onsite Services GmbH, München
  2. Stadtwerke München GmbH, München
  3. Würth Industrie Service GmbH & Co. KG, Bad Mergentheim
  4. EPLAN Software & Service GmbH & Co. KG, Monheim am Rhein (Düsseldorf/ Köln)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 11,99€
  2. (-66%) 16,99€
  3. (-80%) 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

  1. Internetdienste: Ermittler sollen leichter an Passwörter kommen
    Internetdienste
    Ermittler sollen leichter an Passwörter kommen

    Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".

  2. Netflix und Youtube: EU-Kommissarin warnt vor hohem Energiebedarf des Internets
    Netflix und Youtube
    EU-Kommissarin warnt vor hohem Energiebedarf des Internets

    Youtube, Netflix und Prime Video sind die Dienste, die besonders viel Internetverkehr generieren und damit auch einen besonders hohen Energiebedarf nach sich ziehen. Das sieht die Vizepräsidentin der EU-Kommission kritisch.

  3. Galaxy Fold: Samsung dementiert eigene Verkaufszahlen
    Galaxy Fold
    Samsung dementiert eigene Verkaufszahlen

    Samsung widerspricht sich selbst. Das Unternehmen bestreitet die Angabe eines ranghohen Samsung-Managers, der verkündet hatte, weltweit seien bereits eine Million Galaxy Fold verkauft worden. Vieles bleibt ungeklärt.


  1. 12:25

  2. 12:10

  3. 11:43

  4. 11:15

  5. 10:45

  6. 14:08

  7. 13:22

  8. 12:39