1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Warum ist pep-project.org nicht per HTTPs erreichbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 16.09.14 - 14:00

    Der Grund ist, dass HTTPS in der Praxis so gut wie wirkungslos ist. Nicht nur sind die gängigen Implementierungen wie OpenSSL eine mittlere Katastrophe, sondern das Konzept der CAs ist gescheitert. Gehört den Überwachern auch nur eine CA, der vertraut wird, so ist das ganze Konzept wirkungslos.

    Aufgrund dieser Tatsache haben wir uns bei p≡p entschieden, “gewöhnliches” HTTPS nicht mehr zu unterstützen, um keine Sicherheit vorzugaukeln, wo keine ist.

    Es wird aber demnächst ein CAcert-Zertifikat für https://cacert.pep-project.org geben. Wir warten gerade noch darauf, dass es zur Verfügung steht. Wer mehr über CAcert erfahren möchte, hier ist die CAcert Homepage: http://cacert.org

    Um den Unterschied deutlich zu machen, verwenden wir einen anderen Hostname, eben cacert.pep-project.org. Wer das nutzen möchte, dem sei dringend angeraten, mindestens Certificate Pinning einzusetzen besser gleich allen kommerziellen Root-Zertifikaten das Vertrauen zu entziehen und stattdessen das von CAcert zu laden. Der Aufwand jedoch rentiert sich – wie oben angedeutet – jedoch nur dann, wenn man eine TLS-Implementierung einsetzt, der man noch vertrauen kann.


    Anmerkung an die golem.de Redaktion: mit Firefox kann ich diesen Text nicht posten. Er wird abgelehnt mit “Possible hack attempt detected. The posted form data was rejected.” Mit Safari dagegen geht's.

  2. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: hannob (golem.de) 16.09.14 - 17:25

    Danke für den Kommentar, allerdings überzeugt er mich nicht. Und ich bin überrascht, eine solch rigorose Position von jemandem zu hören, der gerade versucht, Outlook Verschlüsselung beizubringen.

    Die Probleme von HTTPS sind mir alle bekannt und sie sind auch nicht wegzudiskutieren, ich habe selbst dazu einen ausführlichen Vortrag auf der Easterhegg gehalten [1]. Aber zu behaupten dass HTTPS "so gut wie wirkungslos ist" halte ich für eine geradezu abstruse Übertreibung.

    Ja, das CA-System ist äußerst problematisch und ja, wenn eine CA kompromittiert ist wird dadurch ein Man-in-the-Middle-Angriff möglich. Aber: Ein solcher Angriff ist nur für relativ mächtige Angreifer durchführbar. HTTPS schützt immer noch in sehr vielen Fällen, beispielsweise hilft es gegen alle rein passiven Lauscher.

    Wie realistisch ist es eine CA zu kompromittieren? Es ist sicher für manche Geheimdienste und eventuell für manch andere Angreifer möglich, aber es ist sehr aufwändig und es kann auffallen. Für dauerhafte Massenüberwachung ist es nicht realistisch, auf kompromittierte CAs zu setzen, denn auch wenn CAs mit ziemlich viel durchkommen: Eine CA, von der permanent gefälschte Zertifikate auftauchen käme damit auch nicht durch.

    Was OpenSSL und andere mangelhafte Implementierungen angeht: Ja, ist auch ein Problem, allerdings tut sich da einiges. Ich würde bspw. persönlich OpenSSL seit Heartbleed eher mehr trauen - weil ich weiß, dass jetzt einige Leute einen genaueren Blick drauf werfen. Hat ja auch schon dazu geführt, dass weitere Probleme (ccsinjection und andere) gefunden wurden.

    Und was man nicht außer acht lassen sollte: Es sind gerade einige Technologien in Vorbereitung, die viele momentan bestehende Probleme von TLS/HTTPS angehen. Für die gesamte CA-Problematik setze ich etwa große Hoffnungen auf Certificate Transparency und HTTP Key Pinning - dadurch könnten die allermeisten Angriffe auf die CA-Infrastruktur verhindert werden. (und ja, zu den beiden Sachen wird es demnächst mal einen ausführlichen Hintergrundartikel hier geben)

    HTTPS/TLS ist alles andere als perfekt. Eine trotzige "HTTPS ist eh doof"-Haltung finde ich aber nicht hilfreich.

    [1] https://www.youtube.com/watch?v=M18MEWdbMlw

  3. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 18.09.14 - 16:46

    Hallo,

    da gehen unsere Ansichten wohl völlig auseinander. Ich halte das kommerzielle CA-Konzept für schlichtweg bankrott. Damit bin ich im Club übrigens alles andere als alleine.

    Die Bewertung ist entsprechend auch nicht “trotzig” – sondern im Gegenteil, mit CAcert gibt es ja eine Alternative, und die wird von pEp auch unterstützt:

    https://cacert.pep-project.org

    Viele Grüsse,
    VB.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Sikla GmbH, deutschlandweit (Home-Office)
  3. Deutsche Rentenversicherung Bund, Berlin
  4. Handtmann Service GmbH & Co. KG, Biberach an der Riss

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 15,00€
  2. (-40%) 35,99€
  3. (-20%) 47,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  2. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
  3. Support-Ende Neben Windows 7 ist jetzt auch Server 2008 unsicher

  1. Zurück in die Zukunft: Nike stellt neue Generation selbstschnürender Sneaker vor
    Zurück in die Zukunft
    Nike stellt neue Generation selbstschnürender Sneaker vor

    Nike hat mit dem Adapt BB 2.0 das nächste Sneaker-Modell mit automatischen Schnürsenkeln vorgestellt. Sie sollen komfortabler zu tragen und leichter anzuziehen sein als die Vorgänger.

  2. Lightning: Apple warnt vor einheitlichem EU-Ladegerät
    Lightning
    Apple warnt vor einheitlichem EU-Ladegerät

    Apple ist gegen eine mögliche EU-weite Regulierung für ein einheitliches Ladeverfahren für mobile Geräte und warnt vor Umwelt- und Akzeptanzproblemen.

  3. Ölindustrie: Der große Haken an Microsofts Klimaplänen
    Ölindustrie
    Der große Haken an Microsofts Klimaplänen

    Microsoft verkündet einen ambitionierten Plan, um das Unternehmen klimaneutral zu machen. Vieles darin klingt gut, aber es gibt einen großen Haken: Microsofts gute Geschäfte mit der Ölindustrie sollen weitergehen.


  1. 07:44

  2. 07:18

  3. 07:00

  4. 22:45

  5. 17:52

  6. 17:30

  7. 17:15

  8. 17:00