1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Warum ist pep-project.org nicht per HTTPs erreichbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 16.09.14 - 14:00

    Der Grund ist, dass HTTPS in der Praxis so gut wie wirkungslos ist. Nicht nur sind die gängigen Implementierungen wie OpenSSL eine mittlere Katastrophe, sondern das Konzept der CAs ist gescheitert. Gehört den Überwachern auch nur eine CA, der vertraut wird, so ist das ganze Konzept wirkungslos.

    Aufgrund dieser Tatsache haben wir uns bei p≡p entschieden, “gewöhnliches” HTTPS nicht mehr zu unterstützen, um keine Sicherheit vorzugaukeln, wo keine ist.

    Es wird aber demnächst ein CAcert-Zertifikat für https://cacert.pep-project.org geben. Wir warten gerade noch darauf, dass es zur Verfügung steht. Wer mehr über CAcert erfahren möchte, hier ist die CAcert Homepage: http://cacert.org

    Um den Unterschied deutlich zu machen, verwenden wir einen anderen Hostname, eben cacert.pep-project.org. Wer das nutzen möchte, dem sei dringend angeraten, mindestens Certificate Pinning einzusetzen besser gleich allen kommerziellen Root-Zertifikaten das Vertrauen zu entziehen und stattdessen das von CAcert zu laden. Der Aufwand jedoch rentiert sich – wie oben angedeutet – jedoch nur dann, wenn man eine TLS-Implementierung einsetzt, der man noch vertrauen kann.


    Anmerkung an die golem.de Redaktion: mit Firefox kann ich diesen Text nicht posten. Er wird abgelehnt mit “Possible hack attempt detected. The posted form data was rejected.” Mit Safari dagegen geht's.

  2. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: hannob (golem.de) 16.09.14 - 17:25

    Danke für den Kommentar, allerdings überzeugt er mich nicht. Und ich bin überrascht, eine solch rigorose Position von jemandem zu hören, der gerade versucht, Outlook Verschlüsselung beizubringen.

    Die Probleme von HTTPS sind mir alle bekannt und sie sind auch nicht wegzudiskutieren, ich habe selbst dazu einen ausführlichen Vortrag auf der Easterhegg gehalten [1]. Aber zu behaupten dass HTTPS "so gut wie wirkungslos ist" halte ich für eine geradezu abstruse Übertreibung.

    Ja, das CA-System ist äußerst problematisch und ja, wenn eine CA kompromittiert ist wird dadurch ein Man-in-the-Middle-Angriff möglich. Aber: Ein solcher Angriff ist nur für relativ mächtige Angreifer durchführbar. HTTPS schützt immer noch in sehr vielen Fällen, beispielsweise hilft es gegen alle rein passiven Lauscher.

    Wie realistisch ist es eine CA zu kompromittieren? Es ist sicher für manche Geheimdienste und eventuell für manch andere Angreifer möglich, aber es ist sehr aufwändig und es kann auffallen. Für dauerhafte Massenüberwachung ist es nicht realistisch, auf kompromittierte CAs zu setzen, denn auch wenn CAs mit ziemlich viel durchkommen: Eine CA, von der permanent gefälschte Zertifikate auftauchen käme damit auch nicht durch.

    Was OpenSSL und andere mangelhafte Implementierungen angeht: Ja, ist auch ein Problem, allerdings tut sich da einiges. Ich würde bspw. persönlich OpenSSL seit Heartbleed eher mehr trauen - weil ich weiß, dass jetzt einige Leute einen genaueren Blick drauf werfen. Hat ja auch schon dazu geführt, dass weitere Probleme (ccsinjection und andere) gefunden wurden.

    Und was man nicht außer acht lassen sollte: Es sind gerade einige Technologien in Vorbereitung, die viele momentan bestehende Probleme von TLS/HTTPS angehen. Für die gesamte CA-Problematik setze ich etwa große Hoffnungen auf Certificate Transparency und HTTP Key Pinning - dadurch könnten die allermeisten Angriffe auf die CA-Infrastruktur verhindert werden. (und ja, zu den beiden Sachen wird es demnächst mal einen ausführlichen Hintergrundartikel hier geben)

    HTTPS/TLS ist alles andere als perfekt. Eine trotzige "HTTPS ist eh doof"-Haltung finde ich aber nicht hilfreich.

    [1] https://www.youtube.com/watch?v=M18MEWdbMlw

  3. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 18.09.14 - 16:46

    Hallo,

    da gehen unsere Ansichten wohl völlig auseinander. Ich halte das kommerzielle CA-Konzept für schlichtweg bankrott. Damit bin ich im Club übrigens alles andere als alleine.

    Die Bewertung ist entsprechend auch nicht “trotzig” – sondern im Gegenteil, mit CAcert gibt es ja eine Alternative, und die wird von pEp auch unterstützt:

    https://cacert.pep-project.org

    Viele Grüsse,
    VB.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fachhochschule Südwestfalen, Meschede
  2. Bayerisches Landesamt für Steuern, Nürnberg
  3. Bundeskriminalamt, Meckenheim
  4. PDR-Team GmbH, Schwäbisch Gmünd

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-74%) 15,50€
  2. 19,99
  3. 20,49€
  4. 4,32€


Haben wir etwas übersehen?

E-Mail an news@golem.de


VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Arbeitsklima: Schlangengrube Razer
Arbeitsklima
Schlangengrube Razer

Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
Ein Bericht von Peter Steinlechner

  1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
  2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  3. Junglecat Razer-Controller macht das Smartphone zur Switch

  1. Datendiebstahl: Facebook warnt eigene Mitarbeiter erst nach zwei Wochen
    Datendiebstahl
    Facebook warnt eigene Mitarbeiter erst nach zwei Wochen

    Nach dem Diebstahl von Festplatten mit unverschlüsselten Gehaltsabrechnungen und persönlichen Daten hat sich Facebook laut einem Medienbericht offenbar sehr viel Zeit gelassen, die betroffenen Mitarbeiter zu informieren.

  2. Ultimate Rivals: Apple Arcade eröffnet Sportspielreihe mit Hockey
    Ultimate Rivals
    Apple Arcade eröffnet Sportspielreihe mit Hockey

    Eishockeylegende Wayne Gretzky gegen Fußball-Weltmeisterin Alex Morgan oder andere Sportstars: Das ist die Idee hinter einer neuen Sportspielserie auf Apple Arcade. Nach dem Hockey-Auftakt namens The Rink geht es im Frühjahr mit Basketball weiter.

  3. T-Mobile: John Legere warnt US-Richter vor Scheitern von Fusion
    T-Mobile
    John Legere warnt US-Richter vor Scheitern von Fusion

    Mehrere US-Bundesstaaten kämpfen gegen die Fusion von Sprint mit T-Mobile in den USA. Dessen Chef John Legere hat sich jetzt bei der Gerichtsverhandlung zu dem Thema geäußert - aber die Aktionäre verlieren offenbar die Geduld.


  1. 14:08

  2. 13:22

  3. 12:39

  4. 12:09

  5. 18:10

  6. 16:56

  7. 15:32

  8. 14:52