Forum

Re: Frage bezüglich Zertifikate ...
Antwort #30: Juli 29, 2013, 09:44:00
Ja, und würden die Stammzertifikate nicht aktualisiert, würde das ja quasi ein Verfallsdatum für Computer bedeuten. Wären die ursprünglich mitgelieferten Zertifikate ausgelaufen, könnte das Gerät nicht mehr für SSL-Verbindungen genutzt werden.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #31: Juli 29, 2013, 23:51:52
Das Problem ist folgendes (aus dem verlinkten Artikel):
Zitat
Es geht hier wohlgemerkt um CAs, die selektiv und quasi unsichtbar auf einzelnen PCs nachinstalliert werden, die bestimmte Zertifikate überprüfen. Das ist etwas ganz anderes als dokumentierte, öffentlich einsehbare Updates der Vertrauensbasis der Krypto-Infrastruktur etwa über den globalen Windows-Update-Mechanismus.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Frage bezüglich Zertifikate ...
Antwort #32: Juli 30, 2013, 06:50:38
Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern. Man kann es drehen und wenden  wie man will: dem Lieferanten des Root-Zertifikats kann man letztlich immer nur vertrauen. Er hat immer die Möglichkeit, die Sicherheit zu kompromittieren.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: Frage bezüglich Zertifikate ...
Antwort #33: Juli 30, 2013, 07:32:07
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #34: Juli 30, 2013, 18:02:30
Mir fiel halt auf, dass Ihr auf diesen Aspekt nicht eingegangen seid, obwohl er der Grund für den Artikel war. Natürlich gibt es schlimmeres, aber das ganze SSL-System basiert auf Vertrauen, und das erreicht man nur mit Transparenz.

Schon klar. Aber was macht das wirklich für einen Unterschied? Auch wenn Zertifikate nur im Rahmen von "öffentlich einsehbaren Updates" aktualisiert würden, hindert den Lieferanten doch nichts und niemanden daran, einzelnen Benutzern selektiv doch etwas anderes zu liefern.

Das wäre aber ein ganz massive Täuschung, die ordentlich schlechte Presse einbringen würde, falls aufgedeckt. Ich denke sogar, dies wäre illegal.

Klar muss man vertrauen und im Endeffekt kann der OS-Hersteller natürlich immer Hintertürchen öffnen.

Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.

Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen. 


Es ist ja auch nicht so, dass man ständig die Root-Zertifikate erneuern müsste - jedenfalls wäre es sowieso besser, nicht gleich jede neue CA aufzunehmen und die meisten Root-Zertifikate laufen ja eh Jahrzehnte. Das sollte also in die Release Notes von Updates mit aufgenommen werden. Und so ist es dann auch korrekt.


Generell ist natürlich das ganze SSL-System problematisch, nur haben wir nichts besseres.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Frage bezüglich Zertifikate ...
Antwort #35: Juli 31, 2013, 07:57:37
Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.

Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.

AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.
Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert? Wie sollen sonst neuere oder aktualisierte Zertifikate auf dem Rechner landen und wie wollen kompromittierte entfernt werden? OK, man könnte fordern, dass so etwas nur manuell geschehen kann, aber seien wir ehrlich: Dann würde so etwas bei den meisten nie passieren.
 
Zitat
Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen.

Was meinst Du?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #36: Juli 31, 2013, 19:19:59
AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.

Der erste Punkt steht im Artikel so drin. Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.

Unter OS X wäre das ja der Schlüsselbund. Auch hier pflegt FF seine eigene Liste.
Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?

Zitat
Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert?

Gar nichts!
Der richtige Weg ist aber, dies transparent zu gestalten, nicht hintenrum ohne Information des Anwenders. Ansonsten meldet Windows doch auch jeden Kleinkram.
Es spricht null dagegen, turnusmäßig die Listen per Softwareaktualisierung/Windows-Update zu aktualisieren und dies in die Release Notes zu schreiben. Leider macht das i.d.R. niemand, nur bei den spektakulären Revoke-Fällen. Aber im laufenden Betrieb ins Geschehen einzugreifen, finde ich noch schlimmer.

Zitat
Was meinst Du?

War falsch ausgedrückt, ich meinte zwei (oder noch mehrere) verschiedene Update-Wege. Was soll das?

Insgesamt ist doch die ganze Prämisse merkwürdig. Die Seitenbetreiber orientieren sich doch eh an den schon installierten RCs. Und es kommen auch nicht jeden Tag zwei neue CAs dazu.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Frage bezüglich Zertifikate ...
Antwort #37: August 01, 2013, 07:58:22
Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.

Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?

Zitat
Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?

Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.
Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #38: August 02, 2013, 14:12:19
Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?

Natürlich nicht, nur in diesem Fall hat es eben mal einen Vorteil.

Zitat
Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.

Der Vergleich passt aber nicht.
Erstens reagiert Apple nur bei Gefahr in Verzug, was man bei Zertifikaten nicht sagen kann. Zweitens geschieht es zwar ohne Meldung, man gibt aber offensichtlich eine Presse-Meldung raus, zumindest kann man es überall lesen. Drittens kann man das auch deaktivieren.

Zitat
Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.

Ich verstehen diesen Absatz nicht:

Zitat
When a user visits a secure Web site (that is, by using HTTPS), reads a secure e-mail (that is, S/MIME), or does some other operation using PKI, the Mac OS X certificate chain verification software checks the X509Anchors file. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.
http://www.apple.com/certificateauthority/ca_program.html

Einerseits ist vom lokalen File die Rede, andererseits von einem Download.

Weiter unten steht dann:
Zitat
After Apple accepts your root certificate, it will appear in a Software Update after the next root certificate refresh cycle.
« Letzte Änderung: August 02, 2013, 14:16:06 von Florian »
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #39: Februar 24, 2015, 16:03:24
Nach dem Open-SSL-Desaster nun die Skandale um Lenovo bzw. Superfish und jetzt auch noch einem angeblichen Schutzprogramm, dass Sicherheit aushebelt. Irgendwie hat man den Eindruck, SSL soll wundgeschossen werden. Noch wunder als es natürlich eh schon ist. Zumindest ist es vielen Werbefritzen u.a. total egal, was sie anrichten.

http://www.heise.de/newsticker/meldung/Gefaehrliche-Adware-Mehr-als-ein-Dutzend-Anwendungen-verbreiten-Superfish-Zertifikat-2557619.html
http://www.heise.de/newsticker/meldung/PrivDog-torpediert-die-Web-Sicherheit-im-Namen-der-Privatsphaere-2557756.html
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #41: August 12, 2015, 14:15:16
Und wieder wäre es kein Problem, diese Angriffe zu verhindern. Aber Desinteresse und Faulheit und vielleicht auch die NSA torpedieren das System, für das es keinen Ersatz gibt.
Erfahrungsgemäß wird es viele Jahre dauernd, bis mal alle Server geschützt sind, wenn es denn überhaupt mal passiert.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Frage bezüglich Zertifikate ...
Antwort #43: November 23, 2015, 20:39:42
Mittlerweile meine ich, Zertifikate als Sicherheitskonzept bringens nicht. Ich und vermutlich viele Anwender verstehen sie nicht. Und dann auch noch so was:
http://www.heise.de/security/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html

Florian

  • Verderbliche Ware!
Re: Frage bezüglich Zertifikate ...
Antwort #44: November 23, 2015, 23:06:55
Verstehst Du es nicht oder meinst Du, dass es nicht funktioniert?
Kann es gerne mal von Grund auf erklären.

Das es die meisten User nicht verstehen, ist wohl so, eigentlich müssen sie das aber auch nicht. Das ist ja das schöne daran, wobei es an sich einfach ist. Nur jetzt sieht man eben, dass immer mehr Bösewichte und Schlamper und offensichtlich auch Saboteure das System in den Abgrund führen. Habe ja schon mal geschrieben, dass es ein Gerüchle hat. Auch bei diesem von Dir verlinkten Dell-Fiasko kann das ja nur noch böse Absicht sein.

Eine Alternative tut sich aber auch nicht auf, höchstens eine Demokratisierung, etwa durch https://letsencrypt.org
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.