[Talk-de] HTTPS auf overpass-api.de

Holger Jeromin mailgmane at katur.de
Mo Mär 30 08:50:43 UTC 2015 

Roland Olbricht wrote on 26.03.2015 19:24:

> Ich denke, das Image der SSL-Zertifkate ist, dass sie irgendwie sicher 
> sind, während Seiten ohne Verschlüsselung irgendwie  unsicher sind. Ich 
> würde das gerne detaillieren.

Seiten mit Warnungen sind schlecht fürs Internet, da sie Usern (die
keine Ahnung haben) beibringen immer auf OK zu klicken.

> Man kann einwenden, dass ein Angreifer mehr tun muss: er muss den 
> Datenverkehr zwischen Browser und dem Webserver, auf dem die Overpass 
> API liegt, abfangen. Das muss er allerdings für eine unverschlüsselte 
> Verbindung ebenfalls. Ohne große Mühen können das z.B. Programme auf dem 
> eigenen Rechner (macht der Notebook-Hersteller Lenovo [1]), Dein 
> Zugangsprovider [2] oder im Falle eines WLANs in der Regel jeder andere 
> Teilnehmer im WLAN, mein Zugangsprovider oder Hosting-Anbieter oder auch 
> Lauscher an großen Umschlagpunkten [3]. In allen diesen Fällen haben die 
> Mitlauscher es geschafft, sich auch ein gültiges Zertifikat zu 
> verschaffen. Zwischen der Sicherheit verschlüsselter und 
> unverschlüsselter Verbindungen hat es also exakt keinen Unterschied gegeben.
> 
> Unberechtigte Zertifikate zu ehalten ist aber nicht nur für 
> Geheimdienste [2] und Anbieter suspekter Software [1] möglich, sondern 
> auch für Einzelpersonen [4]. Um ein Zertifkat für eine Website zu 
> bekommen, muss man nur in der Lage sein, eine eMail an eine Adresse wir 
> postmaster at overpass-api.de zu einem selbstgewählten Zeitpunkt lesen zu 
> können. Praktischerweise passiert das auf dem gleichen Kanal wie die 
> spätere Verbindung zur Overpass API per HTTPS; diesen muss man für einen 
> Angriff ohnehin kontrollieren können. Dazu kommen alle außerplanmäßigen 

Das ist nicht ganz korrekt.
Die Bestätigungsmail kommt über den Weg:
Zert-Anbieter  -- overpass-api.de Mailserver
Wobei das wohl Glasfaserleitungen und sonstige feste Verbindungen
zwischen großen Rechenzentren sind.

Die spätere Nutzung geht über
overpass-api.de Webserver --2-- Nutzer
Was beliebiges unverschlüsseltes WLAN oder verwundbare Privat-Router
sein kann.

Ersterer Einbruch ist wesendlich schwieriger, als der andere.

-- 
Grüße
Holger Jeromin

Mehr Informationen über die Mailingliste Talk-de