[Talk-de] Neuling mit vielen Fragen.

Matthias Versen spam at mversen.de
Di Feb 2 07:48:12 UTC 2010


Max Andre wrote:

> Ich glaube hier geht beim Thema Zertifikate eineiges durcheinander!
> X.509 kommt hat ZWEI Funktionen. Zum einenen die Authentifizierung, also
> um sicherzustellen, dass der Server am anderen Ende der Leitung auch
> wirklich der ist, der er vorgibt zu sein. Zum anderen um die Daten auf
> ihrer Reise durch die Weiten des Internets zu verschlüsseln, also
> sicherzustellen das sie von niemand unberechtigten eingesehen werden können.
>
> Für den ersten Fall brauche in unbedingt ein Zertifikat, das von einer
> CA signiert ist, der man vertrauen kann. Ob das bei den in den Browsern
> vorinstallierten root-Zertifikaten immer so der Fall ist, sei mal dahin
> gestellt.
>
> Im zweiten Fall, wenn ich die Daten "nur" verschlüsselt übertragen will,
> aber dem vermeintlichen Empfänger blind vertraue, dann kann ist es
> eigentlich egal, ob oder von welcher CA das Zertifikat signiert wurde.

Das ganze wird ziemlich offtopic hier, deswegen wird dies meine letzte 
Nachricht sein. Eigentlich wollte ich nur darauf hinweisen das die 
Einstellung von dem Ursprünglichen Threadersteller nicht falsch war dem 
Zertifikat nicht zu vertrauen.

Zum Thema verschlüsseln:
Was bringt eine verschlüsselung wenn ich nicht weiß ob ich zwischen mir 
und der gewollten Webseite oder zwischen mir und einem Angreifer 
verschlüssele ?
Richtig, absolut nichts denn die Sicherheit der Daten ist in keinem Fall 
geährleistet. Es ist sogar noch schlimmer denn die unbedarften Benutzer 
werden mit Aufforderungen zum ignorieren von solchen Zertifikatsfehlern 
dazu trainiert solche Warnungen des Browsers zu ignorieren. Solange 
CaCert nicht in mindestens einer der großen Browserplatformen vertreten 
ist sollte man zum Schutz des SSL Systems aus diesme Grund auf den 
Einsatz solcher Zertifikate verzichten.

> Ich nutze lieber auch mal ein nicht (oder von CAcert) signiertes
> Zertifikat als mein Passwort im Klartext zu übertragen. Es gibt
> außreichend unsichere Netzwerke, in denen man sich nicht sicher sein
> kann, dass Benutzernamen und Passwörter, die im Klartext vorbei kommen,
> nicht mitgesnifft werden (26c3-Netzwerk, Hotel-Wlans, Uninetzwerke,
> Schulnutze, usw...)

Lasse die Verschlüsselung lieber gleich weg, wenn Du in öffentlichen 
Netzwerken bei einer reinen verschlüsselung Daten überträgst ohne 
sicherzustellen, mit wem Du das machst.Du machst Dir selbst nur etwas 
vor wenn Du meinst das es einen großen Sicherheitsgewinn bringt.

> Noch ein Absatz zu CACert. Wieso das CACert Root-Zertifikat in den
> Browsern nicht vorinstalliert ist, ist mir ein Rätsel! Thawte hatte auch

Es wäre mir ein Rätsel wenn das Zertifikat in den Browsern integriert wäre.
Als Zertifikatsstelle muss ich neben dem Ausstellen der Zertifikate (mit 
Identitätsüberprüfung) z.b. auch sicherstellen das die ausgegeben 
Zertifikate sicher gelagert werden.
Beim SSL System ist die Vertrauenskette mit das wichtigste Element und 
das ein Browserhersteller nicht jeder möchtegern Zertifikatsagentur 
blind vertraut solte klar sein. Die Browserhersteller fordern eine 
externe Sicherheitsüberprüfung der gesamtem Struktur um der 
Zertifikatsagentur zu vertrauen.
CaCert war in 5 Jahrfen dazu nicht in der Lage so ein Audit zu schaffen 
und das nicht auf Grund von Finanzierungsproblemes des Gutachters 
sondern weil die Struktur von CaCert nicht den Anforderungen entspricht.
Dabei ist nicht das web-of-trust das Problem sondern die Technische und 
personelle Struktur.

> mal ein web-of-trust in dem sich User gegenseitig zertifizieren konnten.
> Das hat zu 99,9% exakt so funktioniert wie das Web-of-Trust von Cacert,
> nur das die Zertifikate dann von thawte signiert wurden, deren root
> Zertifikat in nahzu jedem Browser vorhanden ist. thawte hat den Dienst
> dann eingestellt, als sie gemerkt haben, dass sie sich damit selber das
> Geschäft kaputt machen!

Das Kohle argument ist heutztage in meinen Augen absoluter Schwachsinn 
denn ein normales Zertifikat bekommt man gratis und das sollte in den 
meisten Fällen ausreichen.

Matthias





Mehr Informationen über die Mailingliste Talk-de