mmh...an sich ja nicht schlecht, hätte SSL/TLS nicht allgemein einen großen Designfehler bei der Validierung von vertrauenswürdigen Zertifikaten mithilfe des Zertifikatsspeichers, der ja bekanntlich leicht zu manipulieren ist. Insofern halte ich es für reichlich egal, was letztlich als Zertifikat auf dem Server drauf ist, die Identität kann in der heutigen Zeit bei den ganzen Java/Adobe-Lücken sowieso nicht mehr 100%ig garantiert werden. Verschlüsseln tun ja prinzipiell erstmal alle Zertifikate. Letztlich sind deshalb EV-Zertifikate meiner Meinung nach eh nur eine reine Geldquelle für die großen Zertifizierungsstellen.
Ich erstell mir dann mal meine eigene EV-Zertifizierungsstelle...
nighthawk
Genau aus den von dir angeführten Gründen gibt es EV Zertifikate. Die Signaturen der EV Zertifikate sind direkt in die Browser reinkompiliert. Da kannst du Zertifikate generieren und deinen Zertifikatsspeicher manipulieren solange du willst - es wird nie ein EV Zertifikat dabei herauskommen.
L.E.
Wenn ich richtig informiert bin, ging das jedenfalls bis mindestens 2010 beim IE8 noch relativ leicht und wird bestimmt auch jetzt noch bei den anderen Browsern irgendwie klappen. Entsprechende Codingkenntnisse eines Trojaner-Entwicklers natürlich vorausgesetzt.
Häbitte? Du meinst, für jedes neue EV-Zertifikat, das ausgestellt wird, bringen Mozilla, Microsoft, Opera, Apple und Google eine neue Browserversion raus?
Nö. Schlicht und ergreifend nö.
Es gibt sicher fest einkompilierte Zertifikate, das sind aber üblicherweise nur die des Browserherstellers selbst, damit keiner eine manipulierte Version des Browsers verteilen kann, indem er den Update-Mechanismus kapert.
EV heißt nix anderes, als dass der Zertifikatsaussteller *verspricht*, mehr Sorgfalt bei der Überprüfung der angegebenen Daten walten zu lassen, und dafür deutlich mehr Geld haben will.
Tatsächlich hat das Procedere je nach Zertifikatsaussteller deutliche Qualitätsunterschiede. Da gibt es die ganze Bandbreite von "wir zertifizieren blindlings alles" über "Sie müssen mit genau der Adresse im Telefonbuch stehen" bis "Wir brauchen Ihren Handelsregisterauszug und zwei Mitarbeiter mit vollem Namen, die sich genau so am Telefon melden müssen, wenn wir anrufen."
Von daher: Sicherheitstechnisch für den verlängerten Rücken.
Trotzdem will es jeder, weil Prestige bzw. weil dann keine dumme Nachfragen von Kunden mit gefährlichem Halbwissen kommen, die sich wundern, warum man "nur" SSL und kein EV hat.
DerKlaus
Danke. Einfach nur Danke für diese Antwort.
Dem kann ich mich nur anschliessen.
Anonym
Auch wenn es wahrscheinlich nicht wirklich weiter interessant ist...
...aber EV-Zertifikate sind sogar so ein bisschen in den Browser einkompiliert. Natürlich nicht jedes einzelne ausgestellte Zertifikat. Aber für jedes Root-Zertifikat, dass EV-Zertifikate unterschreiben muss.
Für Firefox sind die Roots die EV ausstellen dürfen z.B. hier gelistet http://dxr.mozilla.org/mozilla-central/security/manager/ssl/src/nsIdentityChecking.cpp#l105
Und wann immer einer dazu kommt muss es eine neue Browser-version geben (bzw. das update davon geht halt mit der nächsten Version raus). Und man muss das anschalten eines roots für EV nochmal getrennt beantragen. EV-Zertifikate von Roots die ein Browser nicht als EV akzeptiert werden ansonsten einfach nur "normal" angezeigt.
Bei roots ist es aber zumindest bei Firefox ähnlich - die sind auch einkompiliert (aber an einer anderen Stelle).
L.E.
Wobei das keine Garantie ist. Mit ein bisschen Scripten (Stand 2009) und der Unterstellung einer bäsartigen Absicht bei sowas kriegt man seine RootCA auch wohl als EV umgebogen. Und der IE8 nutzt ja definitiv den Windows-internen Zertifikatsspeicher.
Oder hier auch nicht ganz uninteressant der offizielle Weg über eine MS-PKI:
http://www.sole.dk/boost-your-internal-pki-microsoft-ca-security-with-free-green-extended-validation-ssl-in-15-minutes-or-close-your-eyes-until-2016/
Anonym
schulterzuck
Natürlich, wenn man schon vollen Administratorzugriff auf einen Rechner hat, so das man den Zertifikatsspeicher / installierten Browser ändern kann ist eh alles zu spät.
Marc
Da würde es deutlich mehr Sinn machen grundsätzlich SSL/TLS für die Seite zu erzwingen, am besten über HTTP Strict Transport Security.
Dirk
Ja „zwangsweises“ SSL für ALLES! Es muss endlich ein Umdenken stattfinden von „SSL ist was besonderes, aber mir egal!“ hin zu „Wie, du nutzt kein SSL?“
Andreas
Wenn du mir die Kosten erstattest die mein Hoster verlangt selbst für selfsigned Zertifikate.
UND wenn du die Browser Hersteller dazu bringst auch self signed zu akzeptieren, ODER es eine CA gibt die kostenlos ist.
Sebastian Marsching
Das mit den Hostern ist schon ein Problem, das wohl auch erst besser werden wird, wenn IPv6 so verbreitet ist, dass man auf IPv4 verzichten kann. Unser Server-Anbieter hat auch gerade kräftig die Preise für IPv4-Adresse erhöht, aber ich bin trotzdem nicht bereit auf SSL für alle wichtigen Seiten (d.h. alle, die Logins erfordern) zu verzichten.
Wenn die Browser selbst signierte Zertifikate akzeptieren würde, ohne den Benutzer eindringlich zu warnen, könnten wir auch gleich auf SSL verzichten. Dann steht nämlich einer Man-in-the-Middle-Attack nichts mehr im Wege.
Es gibt allerdings durchaus die Möglichkeit kostenlos Zertifikate zu bekommen, die von den meisten Browsern akzeptiert werden. Ich benutze für diesen Zweck https://www.startssl.com/. Domain-validierte Zertifikate sind dort kostenlos, und für viele Zwecke reichen diese schließlich.
Andreas
Danke für den Link, StartSSL war mir bisher nicht bekannt. Nur CACert und die kriegens ja bis heute nicht gebacken
T
SNI wird ja langsam praxistauglich - wo XP nun langsam aber sicher verschwindet. Meinte ich. Und sehe nun, dass der Android-Default-Browser erst ab 3.0 damit klarkommt.
Andreas
Achso, bei IP V4 sehe ich persönlich bei mir nicht einmal das Problem.
Mir steht eine freie IP V4 Adresse laut Tarif zu, die ich auch gleich beantragt habe.
Ein Problem ist aber die Märchengebühr die erhoben wird dafür das Zertifikat einzubinden in den Vhost. Und das dann auch noch Monatlich.
Naja ich werde mir eh bald einen Vserver holen, dann haben sich solche Kinderprobleme erledigt für mich
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
L.E.
Ich erstell mir dann mal meine eigene EV-Zertifizierungsstelle...
nighthawk
L.E.
http://www.syss.de/fileadmin/ressources/040_veroeffentlichungen/dokumente/Angriffe_auf_Internetbanking_MDR_22_03_2010.pdf
Brauserkenner
Nö. Schlicht und ergreifend nö.
Es gibt sicher fest einkompilierte Zertifikate, das sind aber üblicherweise nur die des Browserherstellers selbst, damit keiner eine manipulierte Version des Browsers verteilen kann, indem er den Update-Mechanismus kapert.
EV heißt nix anderes, als dass der Zertifikatsaussteller *verspricht*, mehr Sorgfalt bei der Überprüfung der angegebenen Daten walten zu lassen, und dafür deutlich mehr Geld haben will.
Tatsächlich hat das Procedere je nach Zertifikatsaussteller deutliche Qualitätsunterschiede. Da gibt es die ganze Bandbreite von "wir zertifizieren blindlings alles" über "Sie müssen mit genau der Adresse im Telefonbuch stehen" bis "Wir brauchen Ihren Handelsregisterauszug und zwei Mitarbeiter mit vollem Namen, die sich genau so am Telefon melden müssen, wenn wir anrufen."
Von daher: Sicherheitstechnisch für den verlängerten Rücken.
Trotzdem will es jeder, weil Prestige bzw. weil dann keine dumme Nachfragen von Kunden mit gefährlichem Halbwissen kommen, die sich wundern, warum man "nur" SSL und kein EV hat.
DerKlaus
Dem kann ich mich nur anschliessen.
Anonym
...aber EV-Zertifikate sind sogar so ein bisschen in den Browser einkompiliert. Natürlich nicht jedes einzelne ausgestellte Zertifikat. Aber für jedes Root-Zertifikat, dass EV-Zertifikate unterschreiben muss.
Für Firefox sind die Roots die EV ausstellen dürfen z.B. hier gelistet http://dxr.mozilla.org/mozilla-central/security/manager/ssl/src/nsIdentityChecking.cpp#l105
Und wann immer einer dazu kommt muss es eine neue Browser-version geben (bzw. das update davon geht halt mit der nächsten Version raus). Und man muss das anschalten eines roots für EV nochmal getrennt beantragen. EV-Zertifikate von Roots die ein Browser nicht als EV akzeptiert werden ansonsten einfach nur "normal" angezeigt.
Bei roots ist es aber zumindest bei Firefox ähnlich - die sind auch einkompiliert (aber an einer anderen Stelle).
L.E.
http://blog.sidstamm.com/2009/04/roll-your-own-ev.html?m=1
Oder hier auch nicht ganz uninteressant der offizielle Weg über eine MS-PKI:
http://www.sole.dk/boost-your-internal-pki-microsoft-ca-security-with-free-green-extended-validation-ssl-in-15-minutes-or-close-your-eyes-until-2016/
Anonym
Natürlich, wenn man schon vollen Administratorzugriff auf einen Rechner hat, so das man den Zertifikatsspeicher / installierten Browser ändern kann ist eh alles zu spät.
Marc
Dirk
Andreas
UND wenn du die Browser Hersteller dazu bringst auch self signed zu akzeptieren, ODER es eine CA gibt die kostenlos ist.
Sebastian Marsching
Wenn die Browser selbst signierte Zertifikate akzeptieren würde, ohne den Benutzer eindringlich zu warnen, könnten wir auch gleich auf SSL verzichten. Dann steht nämlich einer Man-in-the-Middle-Attack nichts mehr im Wege.
Es gibt allerdings durchaus die Möglichkeit kostenlos Zertifikate zu bekommen, die von den meisten Browsern akzeptiert werden. Ich benutze für diesen Zweck https://www.startssl.com/. Domain-validierte Zertifikate sind dort kostenlos, und für viele Zwecke reichen diese schließlich.
Andreas
T
Andreas
Mir steht eine freie IP V4 Adresse laut Tarif zu, die ich auch gleich beantragt habe.
Ein Problem ist aber die Märchengebühr die erhoben wird dafür das Zertifikat einzubinden in den Vhost. Und das dann auch noch Monatlich.
Naja ich werde mir eh bald einen Vserver holen, dann haben sich solche Kinderprobleme erledigt für mich