1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Warum ist pep-project.org nicht per HTTPs erreichbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 16.09.14 - 14:00

    Der Grund ist, dass HTTPS in der Praxis so gut wie wirkungslos ist. Nicht nur sind die gängigen Implementierungen wie OpenSSL eine mittlere Katastrophe, sondern das Konzept der CAs ist gescheitert. Gehört den Überwachern auch nur eine CA, der vertraut wird, so ist das ganze Konzept wirkungslos.

    Aufgrund dieser Tatsache haben wir uns bei p≡p entschieden, “gewöhnliches” HTTPS nicht mehr zu unterstützen, um keine Sicherheit vorzugaukeln, wo keine ist.

    Es wird aber demnächst ein CAcert-Zertifikat für https://cacert.pep-project.org geben. Wir warten gerade noch darauf, dass es zur Verfügung steht. Wer mehr über CAcert erfahren möchte, hier ist die CAcert Homepage: http://cacert.org

    Um den Unterschied deutlich zu machen, verwenden wir einen anderen Hostname, eben cacert.pep-project.org. Wer das nutzen möchte, dem sei dringend angeraten, mindestens Certificate Pinning einzusetzen besser gleich allen kommerziellen Root-Zertifikaten das Vertrauen zu entziehen und stattdessen das von CAcert zu laden. Der Aufwand jedoch rentiert sich – wie oben angedeutet – jedoch nur dann, wenn man eine TLS-Implementierung einsetzt, der man noch vertrauen kann.


    Anmerkung an die golem.de Redaktion: mit Firefox kann ich diesen Text nicht posten. Er wird abgelehnt mit “Possible hack attempt detected. The posted form data was rejected.” Mit Safari dagegen geht's.

  2. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: hannob (golem.de) 16.09.14 - 17:25

    Danke für den Kommentar, allerdings überzeugt er mich nicht. Und ich bin überrascht, eine solch rigorose Position von jemandem zu hören, der gerade versucht, Outlook Verschlüsselung beizubringen.

    Die Probleme von HTTPS sind mir alle bekannt und sie sind auch nicht wegzudiskutieren, ich habe selbst dazu einen ausführlichen Vortrag auf der Easterhegg gehalten [1]. Aber zu behaupten dass HTTPS "so gut wie wirkungslos ist" halte ich für eine geradezu abstruse Übertreibung.

    Ja, das CA-System ist äußerst problematisch und ja, wenn eine CA kompromittiert ist wird dadurch ein Man-in-the-Middle-Angriff möglich. Aber: Ein solcher Angriff ist nur für relativ mächtige Angreifer durchführbar. HTTPS schützt immer noch in sehr vielen Fällen, beispielsweise hilft es gegen alle rein passiven Lauscher.

    Wie realistisch ist es eine CA zu kompromittieren? Es ist sicher für manche Geheimdienste und eventuell für manch andere Angreifer möglich, aber es ist sehr aufwändig und es kann auffallen. Für dauerhafte Massenüberwachung ist es nicht realistisch, auf kompromittierte CAs zu setzen, denn auch wenn CAs mit ziemlich viel durchkommen: Eine CA, von der permanent gefälschte Zertifikate auftauchen käme damit auch nicht durch.

    Was OpenSSL und andere mangelhafte Implementierungen angeht: Ja, ist auch ein Problem, allerdings tut sich da einiges. Ich würde bspw. persönlich OpenSSL seit Heartbleed eher mehr trauen - weil ich weiß, dass jetzt einige Leute einen genaueren Blick drauf werfen. Hat ja auch schon dazu geführt, dass weitere Probleme (ccsinjection und andere) gefunden wurden.

    Und was man nicht außer acht lassen sollte: Es sind gerade einige Technologien in Vorbereitung, die viele momentan bestehende Probleme von TLS/HTTPS angehen. Für die gesamte CA-Problematik setze ich etwa große Hoffnungen auf Certificate Transparency und HTTP Key Pinning - dadurch könnten die allermeisten Angriffe auf die CA-Infrastruktur verhindert werden. (und ja, zu den beiden Sachen wird es demnächst mal einen ausführlichen Hintergrundartikel hier geben)

    HTTPS/TLS ist alles andere als perfekt. Eine trotzige "HTTPS ist eh doof"-Haltung finde ich aber nicht hilfreich.

    [1] https://www.youtube.com/watch?v=M18MEWdbMlw

  3. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 18.09.14 - 16:46

    Hallo,

    da gehen unsere Ansichten wohl völlig auseinander. Ich halte das kommerzielle CA-Konzept für schlichtweg bankrott. Damit bin ich im Club übrigens alles andere als alleine.

    Die Bewertung ist entsprechend auch nicht “trotzig” – sondern im Gegenteil, mit CAcert gibt es ja eine Alternative, und die wird von pEp auch unterstützt:

    https://cacert.pep-project.org

    Viele Grüsse,
    VB.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Altenholz bei Kiel, Hamburg
  2. Technische Hochschule Ingolstadt, Ingolstadt
  3. JAM Software GmbH, Trier
  4. KfW IPEX-Bank GmbH, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€ (Bestpreis! zzgl. Versand)
  2. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
Von De-Aging zu Un-Deading
Wie Hollywood die Totenruhe stört

De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
Eine Analyse von Peter Osteried


    1. Red Dead Redemption 2 PC: Hohe Bildraten schaden nicht mehr der Gesundheit
      Red Dead Redemption 2 PC
      Hohe Bildraten schaden nicht mehr der Gesundheit

      Mit Updates versucht Rockstar Games, die technischen Probleme der PC-Version von Red Dead Redemption 2 zu lösen - inklusive eines kuriosen Fehlers bei hohen Bildraten. Die Entwickler haben eine Übersicht mit noch nicht korrigierten Bugs ins Netz gestellt.

    2. Auslandskoordination: Telekom dreht LTE an den Grenzen voll auf
      Auslandskoordination
      Telekom dreht LTE an den Grenzen voll auf

      Nach Vodafone nutzt jetzt auch die Telekom die Leistung ihrer LTE-Stadion an den Auslandsgrenzen. Während es bei Vodafone 50 Stationen waren, stellt die Telekom gleich 500 auf volle Leistung.

    3. Benzinpreis-Proteste: Internet in Iran bleibt weiter gesperrt
      Benzinpreis-Proteste
      Internet in Iran bleibt weiter gesperrt

      Seit mehreren Tagen ist das Internet in Iran nach blutigen Protesten weitgehend gesperrt. Nur fünf Prozent des normalen Traffics werden registriert.


    1. 17:44

    2. 17:17

    3. 16:48

    4. 16:30

    5. 16:22

    6. 16:15

    7. 15:08

    8. 14:47