1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Mozilla vertraut…

Das CA-System ist Broken by Design

  1. Thema

Neues Thema Ansicht wechseln


  1. Das CA-System ist Broken by Design

    Autor: /mecki78 10.07.19 - 11:09

    Hier zeigt sich mal wieder schön das Problem des CA-Systems: Irgendwer entscheidet über meinen Kopf hinweg, welchen CAs ich vertrauen soll, nicht vertrauen soll oder gar nicht erst vertrauen darf. Irgendwer, das ist der Hersteller meines Betriebssystems, der Hersteller meines Browsers oder irgend ein Admin meines Systems. Dem einzigen, den es aber zusteht so etwas zu entscheiden, sollte eigentlich ich selber sein.

    Das Problem an diesem System ist, dass Server Zertifikate nur von einer CA signiert werden können. Nehmen wir mal an, es gäbe nur 4 CAs auf der Welt, 20% aller Nutzer vertrauen A, 40% vertrauen B, 30% vertrauen C und die übrigen 10% vertrauen D. Natürlich gibt es auch Überschneidungen, also manche vertrauen A, B und D, aber nicht C, andere vertrauen B und C, aber nicht A und B, usw. Lasse ich mein Zertifikat nur von einer dieser CAs signieren, sagen wir C, dann werden 70% aller Nutzer meinem Zertifikat nicht vertrauen.

    Würde es hingegen nichts kosten sein Zertifikat signieren zu lassen und könnte man ein Zertifikat von mehreren CAs signieren lassen, dann könnte ich meines von A, B, C und D signieren lassen und damit würden alle Nutzer ihm vertrauen. Außerdem macht es das viel vertrauenswürdiger als wenn ich es nur von einer CA signieren lasse, denn eine CA hat vielleicht nicht gut geprüft oder ist korrupt, aber dass gleich alle 4 nicht gut prüfen oder korrupt sind, das ist dann doch eher unwahrscheinlich.

    Das CA System ist also Broken by Design. Man wollte hier den Nutzer von der Last befreien, selber entscheiden zu müssen, wen er vertraut, aber letztlich hat man damit den Nutzer weitgehend entmachtet. Denn natürlich kann ich heute einer CA in meinen System oder Browser das Vertrauen auch entziehen, nur damit entziehe ich ja Mio von Webseiten automatisch auch das Vertrauen, die jetzt nur die Möglichkeit hätten zu einer anderen CA zu wechseln, denn sich irgendwo eine Zweitsignatur holen geht ja eben nicht.

    Aus meiner Sicht müsste dieses System schon lange tot sein. Stattdessen sollten wir flächendeckend DNSSec einsetzen, das sicherstellt, dass DNS Einträge nicht manipuliert wurden können (weder in der Datenbank selber, noch beim Transport zum Nutzer) und Webseitenbetreiber sollten dann DANE nutzen und ganz auf CA Signaturen verzichten. Bei DANE hinterlegt der Inhaber einer Domain Daten im DNS Eintrag dieser Domain mit denen man die Echtheit eines Serverzertifikats verifizieren kann. DNSSec stellt sicher, dass niemand außer dem Inhaber der Domain das kann und da der Browser jetzt auch ohne CA Signatur prüfen kann, ob er gerade vom Server das richtige Zertifikat erhält, braucht dieses keine CA Signatur mehr, den nur dafür war sie ja bisher gut. Validiert es anhand der DANE Infos, dann ist es gültig und ansonsten liefert hier jemand ein falsche Zertifikat aus (man ist mit dem falschen Server verbunden, es findet ein Man-in-the-Middle Angriff statt, usw.) und den sollte man auf keinen Fall vertrauen.

    /Mecki

  2. Re: Das CA-System ist Broken by Design

    Autor: g0r3 10.07.19 - 17:10

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Hier zeigt sich mal wieder schön das Problem des CA-Systems: Irgendwer
    > entscheidet über meinen Kopf hinweg, welchen CAs ich vertrauen soll, nicht
    > vertrauen soll oder gar nicht erst vertrauen darf. Irgendwer, das ist der
    > Hersteller meines Betriebssystems, der Hersteller meines Browsers oder
    > irgend ein Admin meines Systems. Dem einzigen, den es aber zusteht so etwas
    > zu entscheiden, sollte eigentlich ich selber sein.

    Die überwältigende Mehrheit aller Anwender weiß nicht, was ein Zertifikat ist, was eine CA ist, hat keine Idee davon, ob man einer CA vertrauen kann oder nicht und woran man das Vertrauen festmachen sollte. Also ist die aktuelle Lösung de facto die einzige prakikable Lösung.

    Jedem anderen steht es frei, CAs aus seinem Store zu löschen und neue hinzuzufügen.

  3. Re: Das CA-System ist Broken by Design

    Autor: /mecki78 10.07.19 - 22:14

    g0r3 schrieb:
    --------------------------------------------------------------------------------
    > Die überwältigende Mehrheit aller Anwender weiß nicht, was ein Zertifikat
    > ist, was eine CA ist, hat keine Idee davon, ob man einer CA vertrauen kann
    > oder nicht und woran man das Vertrauen festmachen sollte.

    Was alles nur Argumente gegen das CA System sind.

    Und zu sagen "Das ist ja viel zu kompliziert" ist kein Argument, denn dann kann man sagen "Politik ist ja auch viel zu kompliziert, also schaffen wir gleich Wahlen ab, denn die meisten Gesetze versteht der Bürger eh nicht und woher soll er denn wissen ob er einen Politiker oder einer Partei vertrauen kann?" Entweder wie haben mündige Bürger und mŭndige Nutzer, oder wir lassen in Zukunft Facebook einfach entscheiden, was gut für uns ist.

    Die deutsche Telekom ist z.B. eine CA, ich denke viele würden der vertrauen. Apple ist eine CA, ich denke viele würden Apple vertrauen. Müssten CAs um vertrauen bei Nutzern werben, dann würden Nutzer auch mehr CAs kennen und wüssten auch mehr darüber was die machen und warum sie das machen; und sie würden aus Skandalen selber ihren Konsequenzen ziehen (NSA und VeriSign - mehr sag ich nicht). Es würde dann wohl auch viel mehr CAs geben, auch staatliche (viele würden bestimmten Staaten vertrauen) und noch viel mehr private, von namhaften Firmen.

    > Jedem anderen steht es frei, CAs aus seinem Store zu löschen

    Was aber nichts bringt, weil ich damit ja auch allen Servern das Vertrauen entziehe, dessen Zertifikat von dieser CA signiert wurden und Serverbetreiber eben nicht die Möglichkeit haben, ihr Zertifikat einfach von mehreren CAs signieren zu lassen, er muss sich also für eine entscheiden und das ist doch schon das Grundproblem hier, denn sobald wirklich Nutzer selber entscheiden wird kein Nutzer jeder CA vertrauen, aber wie bekommt man dann ein Zertifikat, das so gut wie jeder Nutzer akzeptiert? Das ging nur, wenn man sich von ganz vielen CAs eine Signatur holen kann, so dass am Ende fast immer eines dabei ist, dem auch du vertrauen wirst. Dieser Problem hatte ich doch beschrieben.

    Deswegen DANE, weil da musst du gar keiner CA vertrauen. Bei DANE musst du nur den Server selber vertrauen mit dem du gerade kommunizierst und wenn du den nicht vertraust, dann musst du dessen Webseite ja nicht öffnen.

    /Mecki

  4. Re: Das CA-System ist Broken by Design

    Autor: regedit 11.07.19 - 08:22

    so eine diskussion gab es schon:

    https://forum.golem.de/kommentare/security/zertifikate-dane-und-dnssec-koennten-mehr-sicherheit-bringen/verschiebt-das-ganze-nicht-einfach-nur-das-problem/82458,3734049,3738292,read.html

    fazit: DANE ist nur eine erweiterung des bestehenden Systems und sollte keinesfalls eine ablösung sein

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Deutsche Nationalbibliothek, Frankfurt am Main
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  3. Concordia Versicherungsgesellschaft a.G., Hannover
  4. Klinkhammer Intralogistics GmbH, Nürnberg, Krapkowice (Polen)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Zotac Gaming GeForce RTX 3090 Trinity für 1.787,33€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Displayprobleme Grünstich beim iPhone 12 aufgetaucht
  2. Entsperren erschwert iPhone 12 Mini macht Probleme mit dem Touchscreen
  3. Kabelloses Laden Magsafe entfaltet beim iPhone 12 Mini sein Potenzial nicht