[Talk-de] SSL-Zertifikate "mit" fehlender Trustcenter-Signatur

Matthias Versen spam at mversen.de
Do Apr 1 17:11:10 UTC 2010 

Frederik Ramm wrote:

> Es ist erstaunlich, wie leicht die Entscheidung von ein paar
> Browser-Programmierern andere zu Stuempern machen kann. Ich persoenlich
> boykottiere Firefox 3, weil ich mir nicht vorschreiben lassen will,
> welche Anforderungen ich an Zertifikate zu stellen habe. Ich finde, es
> gibt durchaus einen legitimen Use Case fuer Verschluesselung ohne
> Authentifizierung ("mir ist egal, wer Du bist und wer Dich zertifiziert
> hat, aber mein Provider soll nicht mithoeren, wenn wir Daten
> austauschen"). Die, die diesen Mist im FF3 zu verantworten haben,
> stellen sich auf den Standpunkt, dass sie den unvorsichtigen Dummusern
> da draussen keine Eigenverantwortung in dieser Sache zumuten koennen.

Deine Einstellung ist wirklich erstaunlich denn das hätte ich von Dir 
nicht erwartet.
Eine Verschlüsselung ist absolut wertlos wenn man nicht weiß mit wem man 
verschlüsselt. Eine verschlüsselung bringt Dir nichts, wenn Du keine 
Ahnung hast ob Du zwischen Dir<->Webseite oder zwischen Dir<->MITM 
Attacker<->Webseite verschlüsselst.
Im Gegenteil: Eine solche angebliche verschlüsselte Verbindung ist sogar 
gefährlicher als eine unverschlüsselte weil eine scheinbare Sicherheit 
vorgegaukelt wird.
Das die Warnungen nicht nur für Dummuser sind beweist Du gerade....

Entweder nicht verschlüsseln oder im Notfall den CACert Root importieren 
und CACert Zertifikate benutzen aber in den meisten Fällen sollte 
StartSSL Zertifikate ausreichen.

> Seit FF3 kann man praktisch nirgends mehr einfach mal so ein
> selbstgebautes SSL-Zertifikat einsetzen, ohne dass irgendjemand aus der
> von FF3 generierten Warnung den Fehlschluss zieht, dass da ja wohl
> Stuemper am Werk sein muessen, und entsprechend auf die Kacke haut.

Damit hat FF3 genbau das erreicht, was die Entwickler wollten.
Früher wurden solche Warnungen einfach weggeklickt und MITM Attacken 
waren damit erfolgreich. Heute überlegen die User und akzeptieren solche 
grundlegenden SSL Fehler zum Glück nicht mehr.

> Immer, wenn ich FF3 benutze, denke ich daher: Nun bist Du also einer von
> diesen verantwortungslosen Dummusern da draussen, die FF3 vor der beosen
> Welt schuetzen muss. Da hab ich mich noch nicht so mit angefreundet. Ich
> hoffe mal, bevor der FF2 so in die Tage kommt, dass gar nix mehr damit
> geht, wird es eine andere akzeptable Alternative geben. Vielleicht eine
> Spezialrelease "FF3 for Grown-Ups" oder so.

Wenn Dir Deine Sicherheit egal ist, dann könntest Du 
https://addons.mozilla.org/de/firefox/addon/79787 probieren.

Matthias

Mehr Informationen über die Mailingliste Talk-de