[Talk-de] HTTPS auf overpass-api.de
Richard Z.
ricoz.osm at gmail.com
Do Mär 26 23:27:02 UTC 2015
On Thu, Mar 26, 2015 at 07:24:18PM +0100, Roland Olbricht wrote:
> Im Gegensatz dazu verbreitet sich mit Certificate Pinning [6] ein Verfahren,
> das inhärent große Anbieter bevorzugt: man muss sich wieder mit dem
> Browser-Hersteller gutstellen, damit er für die eigene Seite nur die
> Zertifikate eines einzelnen Anbieters akzeptiert. In der Praxis wird das
> heißen, eine Bürokratie zu durchlaufen, Geld auf den Tisch zu legen oder
> eine Kombination aus beidem. Wie aussichtsreich das für die Seiten im
> OSM-Umfeld ist, kann man an dem Umgang mit CACert absehen.
Certificate pinning geht wohl auf verschiedene Arten.
Die einzige sichere Methode des Cert-pinnings funktioniert glücklicherweise
für Jedermann und gratis: man besorgt sich den public key des Servers,
verifiziert diesen manuel über einen sicheren Kanal und benutzt Programme
die manuelles Certificate pinning unterstützten.
Auf Anhieb fällt mir "curl --pinnedpubkey" key ein.
Vorteil - man benutzt von vornherein ein selbstsigniertes Zertifikat
welches nichts kostet.
Im Firefox geht es im Prinzip auch (NICHT NACHMACHEN): einfach *alle*
root-Zertifikate entfernen - jedesmal wenn Firefox ein neues https
Zertifikat sieht wird man gefragt ob man dieses akzeptieren möchte,
kann den fingerprint vergleichen
usw. Funktioniert in der Praxis leider überhaupt so gut - Filterlisten-
abonments vom adblocker und AJAX requests gehen meistens schief oder
erfordern sehr hohen manuellen Aufwand.
Trotzdem würde ich jedem Raten sich die Liste der im Browser installierten
Root-zertifikate anzuschauen und radikal zu kürzen - insbesondere vor
Aulsandsreisen. Jede dieser root-ca kann einem jederzeit eine falsches
Zertifikat für jede beliebige Domain einspielen und in vielen Asiatischen
Ländern würde ich fest damit rechnen, daß dies von den nationalen root-cas
auch flächendeckend gemacht wird. Auch eine bekannte Fluggeselschaft wurde
unlängst auch dabei ertappt wie sie bein in-flight Netzverbindungen
gefälschte Zertifikate eingesetzt hat um den HTTPS Verkehr über proxies
umzuleiten.
Richard
Mehr Informationen über die Mailingliste Talk-de