1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

  1. Thema

Neues Thema Ansicht wechseln


  1. Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 16.12.14 - 12:26

    Um das hier mal anzumerken, es gibt viele Zertifizierungsstelleb welche einem ein fertiges Zertifikat anbieten. Dies birgt aber ein wahnsinniges Sicherheitsrisiko. Solchen Zertifizierungsstellen gehoert allgemeinhin das Vertrauen entzogen da es keine Sicherheit gibt dass das Zertifikat auch auf dem entsprechenden Server generiert wurde.
    Die andere, sichere Methode ,ist das signieren des oeffentlichen Zertifikats. Hierbei verlaesst der private Teil des Zertifikats niemals den eigentlichen Server und so ist ausgeschlossen dass an diesem Manipulationen moeglich sind.
    StartSSL bietet beide Methoden und wenn sollte ausschliesslich die signierung verwendet werden, aber kein von StartSSL generiertes Zertifikat!



    1 mal bearbeitet, zuletzt am 16.12.14 12:30 durch davidh2k.

  2. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: heutger 16.12.14 - 23:50

    Keine seriöse Zertifizierungsstelle tut das, da StartSSL beide Möglichkeiten bietet, kann man sich darüber nun sein eigenes Bild machen... Dass Heartbleed-Tausche Geld kosten, damit "geizige" Websitebetreiber lieber unsicher bleiben, spricht ebenso Bände. So viel zu StartSSL...

  3. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 17.12.14 - 11:38

    Es gab vor einigen Wochen mal einen Artikel dass eben 5von 12 (ungefaehre Zahl, hab das genaue verhaeltnis nicht mehr im Kopf) getesteten Zertifizierungsstellen dass so handhaben...

  4. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: slashwalker 17.12.14 - 14:02

    davidh2k schrieb:
    --------------------------------------------------------------------------------
    > Um das hier mal anzumerken, es gibt viele Zertifizierungsstelleb welche
    > einem ein fertiges Zertifikat anbieten. Dies birgt aber ein wahnsinniges
    > Sicherheitsrisiko. Solchen Zertifizierungsstellen gehoert allgemeinhin das
    > Vertrauen entzogen da es keine Sicherheit gibt dass das Zertifikat auch auf
    > dem entsprechenden Server generiert wurde.
    > Die andere, sichere Methode ,ist das signieren des oeffentlichen
    > Zertifikats. Hierbei verlaesst der private Teil des Zertifikats niemals den
    > eigentlichen Server und so ist ausgeschlossen dass an diesem Manipulationen
    > moeglich sind.
    > StartSSL bietet beide Methoden und wenn sollte ausschliesslich die
    > signierung verwendet werden, aber kein von StartSSL generiertes Zertifikat!


    Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen Private Key zu erstellen, generiert dein BROWSER einen Private Key samt CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird übermittelt. Daran ist nichts unsicher und auch nichts unseriös.

    https://developer.mozilla.org/en-US/docs/Web/HTML/Element/keygen

  5. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: hab (Golem.de) 17.12.14 - 14:13

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen
    > Private Key zu erstellen, generiert dein BROWSER einen Private Key samt
    > CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird
    > übermittelt. Daran ist nichts unsicher und auch nichts unseriös.

    Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.

    StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der Anmeldung erstellen und das passiert so und ist auch nicht problematisch. Das ist die Sache mit dem keygen-Formular.

    Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen. Und das ist nicht gut. Ist allerdings kein Problem von StartSSL sondern von vielen CAs. Es gab vor einer Weile dazu eine Diskussion im CA/Browser-Forum, ob man das verbieten sollte. Viele CAs haben sich dagegen gesträubt, weil sie argumentierten, dass ihre Kunden nicht in der Lage sind, ein CSR zu erstellen, weil das zu kompliziert ist.

    Ich finde das alles auch nicht gut und ich denke es spricht Bände darüber wie wenig sicherheitssensibel diese Branche ist. Aber für Nutzer gibt es eine ganz einfache Lösung: Wenn so ein Feature angeboten wird sollte man es nicht benutzen.

  6. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: jaykay2342 17.12.14 - 14:21

    Richtig, nur willst du ja meist ein Zertifikat für einen Server erstellen. Best practice ist es den Key direkt auf dem Gerät zu erstellen welches ihn später auch nutzt. Dann kann der auch nicht versehentlich, beim übertragen/backupen/etc irgendwo laden wo er nicht hin gehört. Manchmal geht es aber gar nicht, z.B. weil der Hersteller einer Appliance gar keine Funktion eingebaut hat einen Key zu generieren. Ich hab es auch schon erlebt dass Leute den Key und das CSR auf ihrer Workstation erstellt und dann den Inhalt der PEM files an ein Ticket gepasted habe. Und ja der Key war ohne Passwort geschützt.

  7. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: jaykay2342 17.12.14 - 14:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn du auf StartSSL (oder bei wem auch immer) die Option wählst, einen
    > > Private Key zu erstellen, generiert dein BROWSER einen Private Key samt
    > > CSR. Der Private Key verlässt NIE deinen Browser, nur der CSR wird
    > > übermittelt. Daran ist nichts unsicher und auch nichts unseriös.
    >
    > Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.
    >
    > StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der
    > Anmeldung erstellen und das passiert so und ist auch nicht problematisch.
    > Das ist die Sache mit dem keygen-Formular.
    >
    > Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt
    > kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen.
    > Und das ist nicht gut. Ist allerdings kein Problem von StartSSL sondern von
    > vielen CAs.

    Außer von StartSSL hab ich das noch nicht gehört. Ist natürlich wirklich ein Unding. Der heißt ja private-key und nicht shared-with-ca-key.

    > Es gab vor einer Weile dazu eine Diskussion im
    > CA/Browser-Forum, ob man das verbieten sollte. Viele CAs haben sich dagegen
    > gesträubt, weil sie argumentierten, dass ihre Kunden nicht in der Lage
    > sind, ein CSR zu erstellen, weil das zu kompliziert ist.
    >
    Kunden sind oft dümmer als man denkt. Eigentlich würde man ja erwarten dass die einer Anleitung folgen können und den openssl Befehl zum erstellen von Key und CSR auf eine shell gepasted bekommen. Ist aber dem ist wohl nicht so.

    > Ich finde das alles auch nicht gut und ich denke es spricht Bände darüber
    > wie wenig sicherheitssensibel diese Branche ist. Aber für Nutzer gibt es
    > eine ganz einfache Lösung: Wenn so ein Feature angeboten wird sollte man es
    > nicht benutzen.

    Als jemand der bei einem MSSP ( managed security service provider ) arbeitet sehe ich täglich wie unterschiedlich Sicherheit gehandelt wird. Daher ist mir schon klar dass es wohl genug Kunden gibt die sich aus Bequemlichkeit einfach den Key von der CA erstellen lassen. Für viele Firmen ist Sicherheit nur ein Harken auf der Checkliste für compliance. Da reagiert dann z.B. niemand auf Tickets in denen verdächtige Netzwerkaktivität von uns gemeldet wird. Malware? Who cares?! Auf der anderen Seite gibt es Firmen die es richtig ernst nehmen und jedem misslungenen Login nachgehen und den User fragen was da los war.

  8. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: davidh2k 18.12.14 - 06:36

    Ich weiss nicht wieso, aber mein Posting von gestern mit der Quelle ist verschwunden, naja dann hier nochmal.

    StartSSL ist da ueberigens keine Aussnahme...

    http://m.heise.de/ct/ausgabe/2014-12-Wie-CAs-das-Vertrauen-in-die-SSL-Technik-weiter-untergraben-2189639.html?from-classic=1

  9. Re: Zertifikate kaufen != Zertifikate signieren (ersteres ist unsicher)

    Autor: hjp 22.12.14 - 10:19

    hannob (golem.de) schrieb:
    > Um das hier mal aufzuklären: Das sind 2 unterschiedliche Dinge.
    >
    > StartSSL lässt den Browser ein Clientzertifikat für den Nutzer bei der
    > Anmeldung erstellen und das passiert so und ist auch nicht problematisch.
    > Das ist die Sache mit dem keygen-Formular.
    >
    > Was problematisch ist: Wenn man ein Zertifikat für eine Webseite beantragt
    > kann man tatsächlich den Key von StartSSL auf dem Server erstellen lassen.

    Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das
    ebenfalls über ein keygen-Formular.

    > Und das ist nicht gut. Ist allerdings kein Problem von StartSSL
    > sondern von vielen CAs. Es gab vor einer Weile dazu eine Diskussion im
    > CA/Browser-Forum, ob man das verbieten sollte.

    URL?

    > Viele CAs haben sich dagegen gesträubt, weil sie argumentierten, dass
    > ihre Kunden nicht in der Lage sind, ein CSR zu erstellen, weil das zu
    > kompliziert ist.

    Ein CSR zu erstellen ist einfach (keygen Formular). Kompliziert (naja,
    auch nicht wirklich) ist es dann, den gerade erstellten Private Key aus
    dem Browser zu exportieren und am Server zu installieren (und
    sinnvollerweise im Browser zu löschen, denn dort hat er nichts
    verloren).

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Kassenärztliche Bundesvereinigung, Berlin
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, Bamberg, Würzburg, Nürnberg, München
  4. Holtzmann & Sohn GmbH, Ronnenberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 593,53€ (mit Rabattcode "YDE1NUMXRJSHH3QM" - Bestpreis!)
  2. 68,23€ (PS4, Xbox One)
  3. (u. a. Crucial Ballistix 16GB DDR4-3200 RGB für 78,78€, Crucial Ballistix 32GB DDR4-2666 für...
  4. (aktuell u. a. Beboncool 5-in-1-Ladestation für Switch Joy Cons für 13,69€, Kopfhörer von...


Haben wir etwas übersehen?

E-Mail an news@golem.de