Re(4): Die tollen CAs und ihre SSL-Zertifikate ...

Die tollen CAs und ihre SSL-Zertifikate ... (29 Beiträge, 798 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

... stellen z.B. dem Iran gültige Zertifikate für google.com aus:

https://blog.fefe.de/?ts=b0a2dbcb

Supersauber, oder? Zum Glück haben die ja ihre root-Zertifikate in jedem Browser.

Edit:

a) es war angeblich ein Hack (http://www.heise.de/security/meldung/Falsches-Google-Zertifikat-ist-Folge-eines-Hacks-1333588.html )

b) Die Mozilla-Entwickler sind solche Stümper, dass man das Root-Zertifikat gar nicht über die dafür vorgesehene Funktion löschen kann (nur angeblich das Vertrauen entziehen, das sieht man allerdings im Browser nicht und ich kann's noch nicht bestätigen)

Edit2:

Anscheinend wurde diginotarr schon vor 2 Jahren gehackt und sie haben es nicht bemerkt: http://www.f-secure.com/weblog/archives/00002228.html

Edit3:

Angeblich mehr als 500 Zertifikate gefälscht, nun behauptet jemand dieser Hacker zu sein und dass er 4 weitere "high-profile" CAs gehackt hat und über diese Zertifikate ausstellen kann...

http://www.f-secure.com/weblog/archives/00002231.html

Edit4: Globalsign wurde tatsächlich gehackt, man kann davon ausgehen, dass also neben diginotar und GLobalsign 3 weitere "high-profile" CAs kompromittiet sind.

http://www.globalsign.com/company/press/090611-security-response.html

was stimmt mit meinem Netzzugang nicht? | wikileaks.geizhals.org | stoppt die Ratingclowns!

Vor den Vorhang: Zigarren und Rum aus Kuba vs. Paypal - Widerstand gegen US-Handelsembargos in Europa

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

10.09.2011, 22:09 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

Re: Die tollen CAs und ihre SSL-Zertifikate ... (User64693 am 30.08.2011, 10:33:56)

Re(2): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 30.08.2011, 10:49:41)

Re(3): Die tollen CAs und ihre SSL-Zertifikate ... (User64693 am 30.08.2011, 10:54:21)

Re: Die tollen CAs und ihre SSL-Zertifikate ... (Desolationrob am 30.08.2011, 19:08:27)

Re(2): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 30.08.2011, 19:42:37)

Re(2): Die tollen CAs und ihre SSL-Zertifikate ... (\\ H // am 30.08.2011, 21:21:52)

die Holländer warens ! (moby am 31.08.2011, 10:42:29)

Re: Die tollen CAs und ihre SSL-Zertifikate ... (tha_haze am 31.08.2011, 23:01:05)

Re(2): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 01.09.2011, 01:19:26)

Re(3): Die tollen CAs und ihre SSL-Zertifikate ... (tha_haze am 01.09.2011, 09:45:32)

macht es das ganze System in meinen Augen nur noch unsicherer.

Weil?

Wo auch immer du im Web auf ein self-signed Cert stößt, kannst es nicht sicher sein solang du nicht von deinem Gegenüber zB den Hash auf anderen sicheren Übertragungswegen erfährst. Und das spielts im normalen Leben einfach nicht.

Und genau das hast du jetzt auf jeder Seite mit einem CA-Zertifikat, nur zeigt dir dein Browser auch noch an, dass das absolut verlässlich ist. Weil eine von 600 CAs das ausgestellt hat oder gehackt wurde ... Zudem kostet dich das auch noch eine Stange Geld als Website-Betreiber und wenn "deine" CA dann gehackt wird oder aus einem anderen Grund nicht mehr vertrauenswürdig ist, kannst du dir das in die Haare schmieren.

Für die Authentifizierung gegenüber dem User hilft dir das jedoch nicht wirklich weiter.

Für die Authentifizierung hilft das CA-System offensichtlich auch nicht, da es systematisch missbraucht wird um Leute im Iran und anderswo auszuspähen.

aber erklär doch bitte mal dem Normalo-User was jetzt der Unterschied ist und was wie wo jetzt sicher ist und ob er jetzt seine CC-Infos eingeben darf...

Für jede Art von Usern ist es ungleich sicherer, anzuzeigen:
- wieviele User aktuell dasselbe Zertifikat auf der Seite verwenden
- ob sich das Zertifikat vor kurzem verändert hat
- ob die CA, die das Zertifikat ausgestellt hat, dieselbe ist wie beim letzten Besuch

Re(5): Die tollen CAs und ihre SSL-Zertifikate ... (tha_haze am 01.09.2011, 10:12:10)

Re(6): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 01.09.2011, 10:27:15)

Re(3): Die tollen CAs und ihre SSL-Zertifikate ... (kaufinator1 am 02.09.2011, 20:22:00)

Re(4): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 02.09.2011, 21:17:25)

Re(5): Die tollen CAs und ihre SSL-Zertifikate ... (kaufinator1 am 02.09.2011, 22:00:31)

Re(6): Die tollen CAs und ihre SSL-Zertifikate ... (mjy@geizhals.at am 02.09.2011, 22:07:59)

Re(7): Die tollen CAs und ihre SSL-Zertifikate ... (kaufinator1 am 02.09.2011, 22:14:05)

Re: Die tollen CAs und ihre SSL-Zertifikate ... (user96106 am 05.09.2011, 14:42:37)

Re: und die nächsten prüfen und verkaufen derzeit nichts (user96106 am 07.09.2011, 23:03:08)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung