Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Mozilla vertraut…

Das CA-System ist Broken by Design

  1. Thema

Neues Thema Ansicht wechseln


  1. Das CA-System ist Broken by Design

    Autor: /mecki78 10.07.19 - 11:09

    Hier zeigt sich mal wieder schön das Problem des CA-Systems: Irgendwer entscheidet über meinen Kopf hinweg, welchen CAs ich vertrauen soll, nicht vertrauen soll oder gar nicht erst vertrauen darf. Irgendwer, das ist der Hersteller meines Betriebssystems, der Hersteller meines Browsers oder irgend ein Admin meines Systems. Dem einzigen, den es aber zusteht so etwas zu entscheiden, sollte eigentlich ich selber sein.

    Das Problem an diesem System ist, dass Server Zertifikate nur von einer CA signiert werden können. Nehmen wir mal an, es gäbe nur 4 CAs auf der Welt, 20% aller Nutzer vertrauen A, 40% vertrauen B, 30% vertrauen C und die übrigen 10% vertrauen D. Natürlich gibt es auch Überschneidungen, also manche vertrauen A, B und D, aber nicht C, andere vertrauen B und C, aber nicht A und B, usw. Lasse ich mein Zertifikat nur von einer dieser CAs signieren, sagen wir C, dann werden 70% aller Nutzer meinem Zertifikat nicht vertrauen.

    Würde es hingegen nichts kosten sein Zertifikat signieren zu lassen und könnte man ein Zertifikat von mehreren CAs signieren lassen, dann könnte ich meines von A, B, C und D signieren lassen und damit würden alle Nutzer ihm vertrauen. Außerdem macht es das viel vertrauenswürdiger als wenn ich es nur von einer CA signieren lasse, denn eine CA hat vielleicht nicht gut geprüft oder ist korrupt, aber dass gleich alle 4 nicht gut prüfen oder korrupt sind, das ist dann doch eher unwahrscheinlich.

    Das CA System ist also Broken by Design. Man wollte hier den Nutzer von der Last befreien, selber entscheiden zu müssen, wen er vertraut, aber letztlich hat man damit den Nutzer weitgehend entmachtet. Denn natürlich kann ich heute einer CA in meinen System oder Browser das Vertrauen auch entziehen, nur damit entziehe ich ja Mio von Webseiten automatisch auch das Vertrauen, die jetzt nur die Möglichkeit hätten zu einer anderen CA zu wechseln, denn sich irgendwo eine Zweitsignatur holen geht ja eben nicht.

    Aus meiner Sicht müsste dieses System schon lange tot sein. Stattdessen sollten wir flächendeckend DNSSec einsetzen, das sicherstellt, dass DNS Einträge nicht manipuliert wurden können (weder in der Datenbank selber, noch beim Transport zum Nutzer) und Webseitenbetreiber sollten dann DANE nutzen und ganz auf CA Signaturen verzichten. Bei DANE hinterlegt der Inhaber einer Domain Daten im DNS Eintrag dieser Domain mit denen man die Echtheit eines Serverzertifikats verifizieren kann. DNSSec stellt sicher, dass niemand außer dem Inhaber der Domain das kann und da der Browser jetzt auch ohne CA Signatur prüfen kann, ob er gerade vom Server das richtige Zertifikat erhält, braucht dieses keine CA Signatur mehr, den nur dafür war sie ja bisher gut. Validiert es anhand der DANE Infos, dann ist es gültig und ansonsten liefert hier jemand ein falsche Zertifikat aus (man ist mit dem falschen Server verbunden, es findet ein Man-in-the-Middle Angriff statt, usw.) und den sollte man auf keinen Fall vertrauen.

    /Mecki

  2. Re: Das CA-System ist Broken by Design

    Autor: g0r3 10.07.19 - 17:10

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Hier zeigt sich mal wieder schön das Problem des CA-Systems: Irgendwer
    > entscheidet über meinen Kopf hinweg, welchen CAs ich vertrauen soll, nicht
    > vertrauen soll oder gar nicht erst vertrauen darf. Irgendwer, das ist der
    > Hersteller meines Betriebssystems, der Hersteller meines Browsers oder
    > irgend ein Admin meines Systems. Dem einzigen, den es aber zusteht so etwas
    > zu entscheiden, sollte eigentlich ich selber sein.

    Die überwältigende Mehrheit aller Anwender weiß nicht, was ein Zertifikat ist, was eine CA ist, hat keine Idee davon, ob man einer CA vertrauen kann oder nicht und woran man das Vertrauen festmachen sollte. Also ist die aktuelle Lösung de facto die einzige prakikable Lösung.

    Jedem anderen steht es frei, CAs aus seinem Store zu löschen und neue hinzuzufügen.

  3. Re: Das CA-System ist Broken by Design

    Autor: /mecki78 10.07.19 - 22:14

    g0r3 schrieb:
    --------------------------------------------------------------------------------
    > Die überwältigende Mehrheit aller Anwender weiß nicht, was ein Zertifikat
    > ist, was eine CA ist, hat keine Idee davon, ob man einer CA vertrauen kann
    > oder nicht und woran man das Vertrauen festmachen sollte.

    Was alles nur Argumente gegen das CA System sind.

    Und zu sagen "Das ist ja viel zu kompliziert" ist kein Argument, denn dann kann man sagen "Politik ist ja auch viel zu kompliziert, also schaffen wir gleich Wahlen ab, denn die meisten Gesetze versteht der Bürger eh nicht und woher soll er denn wissen ob er einen Politiker oder einer Partei vertrauen kann?" Entweder wie haben mündige Bürger und mŭndige Nutzer, oder wir lassen in Zukunft Facebook einfach entscheiden, was gut für uns ist.

    Die deutsche Telekom ist z.B. eine CA, ich denke viele würden der vertrauen. Apple ist eine CA, ich denke viele würden Apple vertrauen. Müssten CAs um vertrauen bei Nutzern werben, dann würden Nutzer auch mehr CAs kennen und wüssten auch mehr darüber was die machen und warum sie das machen; und sie würden aus Skandalen selber ihren Konsequenzen ziehen (NSA und VeriSign - mehr sag ich nicht). Es würde dann wohl auch viel mehr CAs geben, auch staatliche (viele würden bestimmten Staaten vertrauen) und noch viel mehr private, von namhaften Firmen.

    > Jedem anderen steht es frei, CAs aus seinem Store zu löschen

    Was aber nichts bringt, weil ich damit ja auch allen Servern das Vertrauen entziehe, dessen Zertifikat von dieser CA signiert wurden und Serverbetreiber eben nicht die Möglichkeit haben, ihr Zertifikat einfach von mehreren CAs signieren zu lassen, er muss sich also für eine entscheiden und das ist doch schon das Grundproblem hier, denn sobald wirklich Nutzer selber entscheiden wird kein Nutzer jeder CA vertrauen, aber wie bekommt man dann ein Zertifikat, das so gut wie jeder Nutzer akzeptiert? Das ging nur, wenn man sich von ganz vielen CAs eine Signatur holen kann, so dass am Ende fast immer eines dabei ist, dem auch du vertrauen wirst. Dieser Problem hatte ich doch beschrieben.

    Deswegen DANE, weil da musst du gar keiner CA vertrauen. Bei DANE musst du nur den Server selber vertrauen mit dem du gerade kommunizierst und wenn du den nicht vertraust, dann musst du dessen Webseite ja nicht öffnen.

    /Mecki

  4. Re: Das CA-System ist Broken by Design

    Autor: regedit 11.07.19 - 08:22

    so eine diskussion gab es schon:

    https://forum.golem.de/kommentare/security/zertifikate-dane-und-dnssec-koennten-mehr-sicherheit-bringen/verschiebt-das-ganze-nicht-einfach-nur-das-problem/82458,3734049,3738292,read.html

    fazit: DANE ist nur eine erweiterung des bestehenden Systems und sollte keinesfalls eine ablösung sein

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Interhyp Gruppe, München
  2. PIA Automation Holding GmbH, Bad Neustadt an der Saale, Amberg
  3. Computacenter AG & Co. oHG, Stuttgart, Berlin, Ratingen
  4. VS HEIBO Logistics GmbH, Verden (Aller)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 127,99€ (Bestpreis!)
  3. 114,99€ (Release am 5. Dezember)
  4. 71,90€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

  1. Nach Kartellamtskritik: Amazon ändert Umgang mit Marketplace-Händlern
    Nach Kartellamtskritik
    Amazon ändert Umgang mit Marketplace-Händlern

    Das Onlinekaufhaus Amazon ändert auf Druck des Bundeskartellamts seinen Umgang mit Händlern, die über Marketplace ihre Produkte verkaufen. Im Gegenzug wird ein sogenanntes Missbrauchsverfahren eingestellt.

  2. Vollformat-Kamera: Sony Alpha 7R IV mit 61 Megapixeln
    Vollformat-Kamera
    Sony Alpha 7R IV mit 61 Megapixeln

    Sony hat mit der Alpha 7R IV eine neue Systemkamera mit Kleinbildsensor vorgestellt. Sie erreicht eine Auflösung von 61 Megapixeln und kommt damit in den Bereich, der bisher Mittelformatkameras vorbehalten gewesen ist.

  3. Raumfahrt: Forscher testen Aerogel als Baumaterial für Mars-Gewächshaus
    Raumfahrt
    Forscher testen Aerogel als Baumaterial für Mars-Gewächshaus

    Ein Aerogel besteht fast nur aus Luft. Forscher in den USA wollen daraus ein Gewächshaus bauen, in dem Mars-Kolonisten Salat und Gemüse ziehen könnten. Ein erster Test ist nach Angaben der Forscher vielversprechend verlaufen.


  1. 07:53

  2. 07:36

  3. 07:15

  4. 20:10

  5. 18:33

  6. 17:23

  7. 16:37

  8. 15:10