Sicherheitszertifikat fürs geizhals-forum??

Sicherheitszertifikat fürs geizhals-forum?? (40 Beiträge, 2238 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

hey!
ich bin grad aufgefordert worden, für das gh-forum ein sicherheitszertifikat zu akzeptieren, weil mein firefox der seite plötzlich nicht mehr vertraut - das hab ich bisher noch nie müssen... gibts dafür nen grund, oder ist das einfach wiedermal windows??

Ja. Du guckst es Dir über https an. Und das Zertifikat ist nicht bei irgendeiner Registrierungsstelle registriert weil GH (zurecht, wennst mich fragst) nicht für einmal Abnicken einiges an Kohle hinlegen will.

Wenn's Dich stört, ändere das https:// in der URL Zeile Deines Browsers auf http:// um. Dann surfst zwar nicht mehr verschlüsselt, aber wer ja nix zu verbergen hat...

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

das Zertifikat ist nicht bei irgendeiner Registrierungsstelle registriert weil
GH (zurecht, wennst mich fragst) nicht für einmal Abnicken einiges an Kohle
hinlegen will.

naja, irgend einen Vertrauenssicherungsmechanismus muss es ja geben

Karawanken

Bär

Jo. Ich kenn die Leute vom Geizhals und wenn sie mir Blödsinn antun geh ich rüber!

So sicher kann 'n Cert gar ned sein wie die Option zu haben den Serverbesitzer zu schütteln!

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

schön für dich

Karawanken

Bär

es ist ja nicht so, dass ich glaub, geizhals würd irgendwelchen quatsch machen... denen vertrau ich eigentlich schon weit genug

hat mich nur interessiert, wieso das auf einmal notwendig ist, weil das vorher nie so war. danke für die aufklärung!

denen vertrau ich eigentlich schon weit genug

Und dir ist bekannt, dass sie User-Passwörter in einer lesbaren Form abspeichern?

naja, irgend einen Vertrauenssicherungsmechanismus muss es ja geben

DNSSEC irgendwann mal.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

für dich ist versign also vertrauenswürdiger als GH?

Du vereinfachst das Ganze ein bisschen zu sehr!
Es geht darum, dass man nicht überprüfen kann von wem das Zertifikat kommt. Bei einem self-signed zertifikat weiß man nie ob das Zertifikat tatsächlich von der Seite stammt für die es ausgestellt wurde.
Wenn das Zertifikat von verisign kommt, dann gibt es zumindest eine weitere "Person" die die Authentizität bestätigt.

in dem fall hier ist es ja auch relativ einfach. das self signed zert wird ja nur zum verschlüsseln für ein fun forum verwendet.

um die authentizität einer seite bestätigt zu haben würd mich auch nicht bei verisign drauf verlassen.

wie war das erst letztens mit dem trojaner der siemens wincc angreifen will? richtig der war auch von realtek oder jmicron signiert. und denen traut ja auch jeder, schlussendlich bauen die hardware und schreiben dafür treiber.

also alles in allem eine sehr sehr hinterfragenswürdige sache.

in dem fall hier ist es ja auch relativ einfach. das self signed zert wird ja
nur zum verschlüsseln für ein fun forum verwendet.

An dem Thread hier siehst du aber, dass das nicht jedem klar ist. Um das zu verstehen und richtig einschätzen zu können muss man schon über einiges an Wissen verfügen.

wie war das erst letztens mit dem trojaner der siemens wincc angreifen will?
richtig der war auch von realtek oder jmicron signiert. und denen traut ja
auch jeder, schlussendlich bauen die hardware und schreiben dafür treiber.

also alles in allem eine sehr sehr hinterfragenswürdige sache.

Ironie: Du hast recht, durch diesen Vorfall ist dem System die Existenzgrundlage entzogen worden. Wir sollten alle self-signed zertifikate verweden, weil das allemal noch sicherer ist, als verisign zu vertrauen.

/ironie ende

Dieser Vorfall zeigt doch eingentlich nur, dass es ohne einem entsprechend signierten Zertifikat unmöglich war in das System einzudringen. Der Aufwand der dort betrieben wurde um an das Zertifikat zu kommen (Bestechung, Diebstahl?) ist so hoch, dass man das System schon als halbwegs sicher bezeichnen kann.

18.08.2010, 18:02 Uhr - Editiert von kaufinator1, alte Version: hier

wie schön dass sich gerade jetzt bruce schneier zu wort meldet und erklärt, auch nicht viel von den zertifikaten zu halten, denen die browser vertrauen.

insbesondere hat cybertrustwhich (die später von verisign gekauft wurden) dem staatsnahen telefonkonzern etisalat der vereinigten arabischen emirate ein root-zertifikat ausgestellt, das bereits benutzt wurde, um ssl verbindungen abzuhören, während der browser ein schönes grünes icon anzeigt.

tom

Twitter

Niemand von euch versteht, dass "keine Sicherheit" nicht besser ist als "ein bißchen Sicherheit". Um bei deinem Beispiel zu bleiben: Das System ist nicht fehlerhaft, weil es nicht geknackt wurde! Es wurde umgangen.
Ohne ein Root Zertifikat, wäre ein Abhören der Verbindungen schwer bis unmöglich gewesen - das beweist, dass das System sicher ist! Der Grund warum es trotzdem abgehört werden konnte, ist "menschliches Versagen"!

Obwohl ich dieses Beispiel schon oft gebracht habe passt es auch hier: Es ist so als würde man ein Türschloss als unsicher einstufen, weil jemand den Schlüssel dazu geklaut hat, und es damit aufsperren konnte!

PS: Was "bruce schneier" sagt ist mir egal, ich benutze mein eigenes Hirn!

03.09.2010, 15:28 Uhr - Editiert von kaufinator1, alte Version: hier

ich korrigiere einfach deinen vergleich: es ist als würde man ein türschloss als unsicher einstufen, nur weil man es selbst gebaut hat und kein hersteller dafür einen unautorisierten schlüssel herstellen kann.

tom

Twitter

Der Vergleich hinkt hier leider, weil das System der Zertifikate auf Vertrauen aufbaut. Es geht eben nicht nur darum die Verbindung zu verschlüsseln, sondern auch darum, auf die Identität des Gegenübers vertrauen zu können. Diesen Aspekt blendest du in deinem Vergleich aus, weil du dir das Schloss ausschließlich für die eigene Nutzung baust - Mit anderen Worten: Dass du dir selbst vertrauen kannst, wird niemand bestreiten.

Man kann sicherlich darüber diskutieren ob man einzelnen Root Zertifikaten nicht besser das Vertrauen entzieht, aber das gesamte System als unsicher einzustufen, und stattdessen auf Self-Signed Zertifikate zu setzen, ist sicherlich der falsche Weg. "Vertraue niemandem" mag in science fiction Filmen "cool" sein, aber in der Praxis/Realität das einfach nicht umsetzbar.

04.09.2010, 02:31 Uhr - Editiert von kaufinator1, alte Version: hier

und wenn ich dir den schlüssel für mein selbstgebautes schloss gebe? dann vertraust du nicht darauf, dass es meine wohnung ist, weil das schloss nicht von $company gebaut wurde?

das einzig vertrauenswürdeige ist meiner meinung ein web of trust. leider ist dieses konzept nur bei pgp, nicht aber bei ssl vorgesehen worden. cacert hat versucht mit den vorhandenen mitteln das beste zu machen und ein web of trust implementiert. paradoxerweise wird aber gerade diesem zertifikat die aufnahme durch die browserhersteller verweigert.

eigentlich kein wunder, die ganzen programmierstunden, welche die zertifikatehersteller in den lästigen firefox dialog investiert hat, der trollen wie dir suggerieren soll, dass nur die zertifikate der kommerziellen anbieter sicher sind, wären verloren und damit auch die ganzen revenues aus dem zertifkategeschäft, die für 2 minuten arbeit gleich mal 70 euro verlangen.

tom

Twitter

und wenn ich dir den schlüssel für mein selbstgebautes schloss gebe? dann
vertraust du nicht darauf, dass es meine wohnung ist, weil das schloss nicht
von $company gebaut wurde?

Wenn ich dich nicht kenne, und dir wichtige Informationen "bringen" muss, dann werde ich tatsächlich nicht darauf vertrauen können, dass du wirklich derjenige bist, für den du dich ausgibst, und mir die richtige Adresse gibst. Nur weil das Schloss sicher ist, sagt das nichts über deine Identität aus...

das einzig vertrauenswürdeige ist meiner meinung ein web of trust.

Das kann man doch erst Recht austricksen, indem man mehrere Accounts erstellt, um einem Zertifikat mehr "Vertrauen" zu verschaffen. Da hast du genauso das Problem mit der Vertrauenskette: Vertraust du jemdandem, nur weil ihm 100 andere vertrauen? Wer sind die 100 anderen? Vielleicht Beamte in einer Diktatur, denen befohlen wurde dem Zertifikat das Vertrauen auszusprechen?

lästigen firefox dialog investiert hat, der trollen wie dir suggerieren soll,
dass nur die zertifikate der kommerziellen anbieter sicher sind,

Es geht nicht um Trolle, sondern um den normalen Websurfer, der keine Ahnung hat woran er erkennen soll, ob er einer Seite vertrauen kann. Dem will man eine Hilfestellung geben, die in der überwiegenden Zahl der Fälle auch zum richtigen Ergebnis führt.

05.09.2010, 12:34 Uhr - Editiert von kaufinator1, alte Version: hier

es geht ja hier um authentication also eher der vergleich:

warum brauche ich einen personalausweis und warum reicht nicht ein von mir selbst unterschriebener zettel auf dem steht, dass ich ich bin.

...und personalausweise sind ja auch nicht sicher, weil es gefälschte gibt...

Ja richtig! Der Personalausweis ist ein gutes Beispiel! Der kostet auch Geld, und er wird von einer Stelle ausgestellt, der man im Allgemeinen vertrauen kann! Hier würde auch niemand auf die Idee kommen sich seinen eigenen Ausweis zu erstellen (Self Signed Zertifikat), oder eine Unterschriftenliste anzufertigen, auf der hunderte Menschen die Identität bestätigen (Web of Trust).

09.09.2010, 17:53 Uhr - Editiert von kaufinator1, alte Version: hier

ganz genau so ist das.

Aber in jeder derartigen Diskussion hier im Forum kommen die immer gleichen paar self-signed Leute mit denselben, dem Grunde nach verfehlten Argumenten daher.

Ich bleibe dabei: ein "self-signed" zertifikat ist aus genau Null wert. Das ergibt sich schon aus der einfachsten Logik. Man kann sich zwar allenfalls "selbst etwas beweisen" aber man sich nicht selbst AUSSENWIRKSAM höhere Glaubwürdigkeit bestätigen, als man tatsächlich hat.

Daran ändert auch der Umstand absolut nichts, dass auch "Fremd-Zertifikate" * oft/manchmal/immer "von Haus aus nix wert" oder
* "nicht sicher genug" / "hackbar" sind oder
* "nur zu teuer" sind.

Das verschärft zwar das Dilemma, aber prinzipiell kann nur ein Fremdzertifikat wirklich "etwas zertifizieren", ein "self-signed Zertifikat" dagegen nicht.

verkaufe: derzeit nix!

Ich bleibe dabei: ein "self-signed" zertifikat ist aus genau Null wert. Das
ergibt sich schon aus der einfachsten Logik.

Was für Logik?
wenn eine große Firma kein Geld verdient, dann kanns nicht sicher sein?
glaubst zertifizierte Firmen machen nur irgendwas?
die nehmen dein geld zertifizieren und gut ist.

warum in diesem forum hier immer mitreden müssen von sachen wo sie sich ned auskennen.

beschwer dich bei den browserherstellern die kein "accept" können - kann scheinbar echt nur FF - Safari und chrome fragen bei jedem Start neu an.

löse Dich doch bitte einmal gedanklich von den aktuellen Unzulänglichkeiten mancher/vieler "Fremd"-Zertifikate.

Und: ja, ich höre, verstehe und teile die Kritik an "Abzocker-Zertifizierern" durchaus! Ja, ich verstehe auch, dass sogar die besten Fremd-Zertifikate mit ausreichend Aufwand bzw. "krimineller Energie" ebenfalls umgangen/ausgehebelt werden können.

ABER:
Das ändert nicht das Geringste daran, dass ein selbst ausgestelltes "Zertifikat" PRINZIPIELL und aus zwingend-logischen Gründen STETS FÜR DEN HUGO ist und ich einem solchen deshalb PRINZIPIELL genau NULL vertraue. Deshalb ginde ich es auch sehr gut, dass die Browser bei "self-signed" immer aufheulen. "Self-Signed" gehört vom Angesicht der Erde getilgt, weil es vielen usern eine vermeintliche Sicherheit vorgaukelt, die nicht existiert.

Ein Fremd-Zertifikat dagegen KANN sehr viel bringen, WENN die Zertifizierung "ordentlich" erfolgt. WENN das der Fall ist, dann darf die Leistung auch etwas kosten.

Jede "Kredit-Leihe" [z.B. eine Bankgarantie, oder ein "zertifizierter Reisepass"] kostet immer etwas, weil niemand den eigenen Ruf für jemand anderen ohne Zwang gratis einsetzt und weil Admin/Arbeit/Aufwand damit verbunden ist.

Ist das denn wirklich so schwer zu verstehen und akzeptieren?

verkaufe: derzeit nix!

Da geht es um ein Prinzip. Die ganze CA Sache ist bis zum höchsten Maße fragwürdig und stinkt gewaltig.

Sie ist streng hierarchisch, wurde deshalb von Politik und Kommerz gerne angenommen. Führt aber dazu, dass es genügt eine einzige Stelle, nämlich die CA zu korrumpieren, und alles weitere ist wertlos!

Und wer auch immer jemals ein Zertifikat gekauft hat, weiß, es gibt keine CA die nicht korrumpiert ist.

Es liegt aber in der Natur der neoliberalen Wertordnung, dass man genau solche Strukturen haben will.

Alternative Strukturen die nicht global korrumpierbar sind, weil sie eben nicht auf einem Capo dem uneingeschränkt vertraut wird beruhen, sondern auf einem max. lokal korrumpierbaren Web of Trust, wurden leider von Politik und Wirtschaft aktiv bekämpft.

ideologisch aufgeladenes bla bla

Wenn du fertig bist, das System durch deine "Linke Brille" zu sehen, schau dir mal an worum es wirklich geht: Es geht darum die Identität von jemandem zu bestätigen. Idealwerweise macht man das selbst. Da das im Internet nicht geht, sucht man sich jemanden der das für einen übernimmt (die CA)! Die verlangt für diese Dienstleistung Geld. Ende.

Das hat nichts mit Ideologie zu tun. Es ist eine einfache Lösung für ein Problem.

Warum die Tatsache, dass man dieses System umgehen kann, kein Argument dagegen ist, wurde schon ausreichend besprochen.

edit:
Ich weiß, dass man mit Leuten wie dir nicht vernünftig diskutieren kann, aber ich möchte trotzdem noch ein Argument gegen das "Web of Trust" bringen, was vielleicht andere interessiert:

Bei einem hierachischen System hat man den Vorteil, dass man einem Zertifikat das Vertrauen entziehen kann, mit dem Ergebnis, dass alle die ihr Vertrauen davon ableiten, ebenfalls nicht mehr vertrauenswürdig sind. Damit kann man zB einer CA das vertrauen entziehen, wenn man weiß dass sie falsche Zertifikate ausstellt, und dann werden alle Zertifikate dieser CA vom Browser nicht mehr akzeptiert.

Bei einem "Web of Trust" ist das nicht möglich! Wenn man weiß, dass eine Person wissentlich falschen Zertifikaten das Vertrauen ausspricht, kann man dieser Person zwar das Vertrauen entziehen, aber ein Zertifikat wird womöglich von hunderten Menschen als "korrekt" markiert. Es ist dann unmöglich nachzuprüfen ob die anderen 599 ebenfalls "lügen" bzw es nicht besser wissen, oder ob man dem Zertifikat tatsächlich vertrauen kann. Der Nutzer muss sich dann wieder genau die Frage stellen, die ihm das System beantworten sollte, nämlich: Kann ich diesem Zertifikat (dieser Seite) vertrauen?

Um es noch plakativer zu sagen: Ein Web of Trust beantwortet diese "Ja/Nein" Frage mit "eher ja" bzw "eher nein". Das ist dann keine Hilfestellung für einen durchschnittlichen Surfer mehr, sondern sorgt für noch mehr Verwirrung, weil viele auch garnicht wissen werden, wovon die Vertrauenswürdigkeit eines solchen Web of Trust - Zertifikats letztendlich abhängt.
Ausserdem ist es sowieso unmöglich jemals im Besitz aller Fakten zu sein, die die Vertrauenswürdigkeit eines solchen Zertifikats bestimmen. Es reicht nämlich nicht aus zu prüfen wer einem Zertifikat das Vertrauen ausspricht! Man müsste auch prüfen, woher diese Person ihr Vertrauen ableitet, usw usf.

Das Web of Trust ist in diesem Sinn keine Lösung, sondern schafft noch mehr Probleme, die man vorher garnicht hatte...

24.09.2010, 00:11 Uhr - Editiert von kaufinator1, alte Version: hier

...einiges an Kohle ...

Das ist ja wohl mal Gott sei Dank Vergangenheit. SSL-Zertifikate gibt es mittlerweile ja zum Glück nachgeschmissen. Mehr als 10-20 € muss man dafür eigentlich nicht mehr zahlen.

Teuer ist das, wie schon jemand geschrieben hat, nun wirklich nicht. Außer du bestellst bei Thawte oder VeriSign. GoDaddy zB tuts auch heutzutage

Nur dass ich halt GoDaddy certs per default als insecure einstufe, eben weil die scheinbar nicht mal überprüfen wer da anfragt.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

das tut versign ja auch nicht unbedingt

Glaubst du wirklich, dass das bei den großen wirklich so kontrolliert wird? DIe rufen dich maximal an und fragen nach ob dus eh bist - das ist nicht wirklich eine Kontrolle

http://www.mail-archive.com/cryptography@metzdowd.com/msg11801.html
http://www.mail-archive.com/cryptography@metzdowd.com/msg11309.html
http://www.mail-archive.com/cryptography@metzdowd.com/msg11324.html

besonders empfehlenswert:

http://www.mail-archive.com/cryptography@metzdowd.com/msg11564.html

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung