Mittwoch, 27. März 2013, 08:52
Blog nun auch via SSL
Einfach aus Lust und Langeweile purem Idealismus:
https://www.hostblogger.de/
Und ja, ich könnte auch ein ordentliches Zertifikat kaufen - aber habe gerade keine Lust dazu
https://www.hostblogger.de/
Und ja, ich könnte auch ein ordentliches Zertifikat kaufen - aber habe gerade keine Lust dazu
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
nighthawk
Ich blockiere unsichere Inhalte auf "sicheren" Webseiten automatisch (zugegebenermaßen leider nicht die Standardeinstellung), was zu einem doch sehr schlichten Layout führt.
Tetja Rediske
Manuel Schmitt (manitu)
Bastian
Allerdings sind Verweise auf das Stylesheet oder andere eingebettete Sachen per http blöd.
Ebenso blöd sind die Captcha-Bilder ohne Inhalt (liegt wohl an fehlenden Cookies).
Rainer
ich finde Absicherung der Webseiten gut, allerdings mit selbst signierten Zertifikaten ist das immer so eine Sache. Ich habe beispielsweise das Problem, dass hier in der Firma diese Seiten dann von der Firewall geblockt werden. Daher begrüsse ich es, dass du den HTTP Zugang offen lässt, damit ich hier weiter lesen kann.
LG
Rainer
Dirk
flo
Manuel Schmitt (manitu)
Holger Just
TM
Andre/STB
Kai Pautsch
Andreas
Arnold
Würde Manuel StartSSL nutzen, und dann irgend ein böses Land das eine CA besitzt deinen Traffic anzapfen merkst du das auch nicht, wenn dir da plötzlich ein anderes Zertifikat geschickt wird - es wurde ja von einer CA signiert, der dein Browser vertraut.
Wenn ich hingegen mit Browserplugin die Webseite an das eine Zertifikat genagelt hab, merk ich das sofort wenn sich da was ändert.
Weniger komfortabel, keine Frage, aber SSL ist in der jetzigen Form ansonsten quasi Placebo.
Kai Pautsch
es gibt die alles weiter klicker und die die übervorsichtig sind und nicht drauf gehen, bäm! die einen sind mit einem getrusteten cert sicherer unterwegs, weil eben keiner ein cert bekommt, ohne nach zu weisen, dass ihnen die seite gehört.
die alles weiter klicker klicken auch bei einer man in the midle attack weiter, da können sogar scriptkiddies man in the middle attacks machen. die übervorsichtigen sind dann auf http ohne ssl, weil das keinen fehler zeigt. und woher sollen fremde nutzer wissen welcher der richtige ssl fingerprint ist, wenn die webseite durch eine man in the middle attack sabotiert wurde bringt es absolut nichts den fingerprint auf der webseite zu hinterlegen.
Arnold
Das ist mir so ziemlich sch... egal. Ich klicke beim ersten mal auf speichern, wenn er sich danach ändert, gibts Alarm. Ich gehe mal einfach davon aus, dass meine Leitung zu Hause vertrauenswürdig ist. Wenn ich dann mit meinem Lappi an nem public Hotspot bin, im Iran oder China, bin ich mir nicht mehr so sicher, ob da jemand in der Leitung klemmt. Wenn dann also der Alarm losgeht, weiß ich dass was faul ist.
Wenn du nicht mal bei deiner Leitung zu Hause sicher bist, hast du in beiden Fällen verloren, da so ziemlich alle Regierungen dieser Welt (und vermutlich Leute mit genug Geld) immer an ein gültiges Zertifikat kommen. Oder glaubst du, bei jeder CA auf dieser Welt arbeiten nur unbestechliche Idealisten?
> weil eben keiner ein cert bekommt, ohne nach zu weisen, dass ihnen die seite gehört
HAHAHA. Recherchier mal ein bisschen, das ist schon mehrmals vorgekommen. Sei es durch Verfahrensfehler bei den CAs, oder durch Bugs in den Browsern (z.B. der Nullchar-Bug vor ~2 Jahren)
Auch erinnere ich mich an eine Newsmeldung dass jemand festgestellt hat, dass bei einer CA deren privater Schlüssel ihres Root-Zertifikats in einem ungeschützten Verzeichnis aufm HTTP Server rumlag. Jeder der das vorher gefunden hat, konnte sich beliebige Zertifikate ausstellen.
Dann wie oben schon erwähnt die Bestechlichkeit. Für ne fünfstellige Summe findest du sicher irgend ein Admin bei irgend ner trümmeligen CA, der dir da was drehen kann.
> die übervorsichtigen sind dann auf http ohne ssl, weil das keinen fehler zeigt.
Hä? Wenn sich pltlzich der Fingerprint einer Webseite ändert steige ich sicher nicht auf http um.
> und woher sollen fremde nutzer wissen welcher der richtige ssl fingerprint ist, wenn die webseite durch eine man in the middle attack sabotiert wurde bringt es absolut nichts den fingerprint auf der webseite zu hinterlegen.
Wie schon gesagt: Beim ersten mal verwende ich einen Internetzugang, den ich für sicher halte. Klar gibts da nie 100% Sicherheit, aber wie eingangs erwähnt gibt es Zugänge, die man für sicherer halten darf als andere. Wenn es um Leben und Tod geht, kann ich ja den Fingerprint von mehreren Orten aus checken (zu Hause, Internetcafe, bei einem Bekannten) und erst wenn er überall gleich war, ihm vertrauen.
Meine Bank hat mir übrigens den Fingerprint ihrer online-Banking Seite per Post zugeschickt. Den habe ich auch manuell überprüft. Klar, jetzt kann auch meine Post abgefangen worden sein... Alles in allem halte ich das aber für weitaus cleverer als sich auf ne CA zu verlassen.
Der Iran hat das übrigens auch schon gemacht: Weil die ja ne eigene CA haben, haben sie MITM Attacken auf google mail durchgeführt. Aufgefallen ist das nur Chrome Usern, da der Browser die Zertifikate von Google eingebacken hat, und alles andere ignoriert. Alle anderen Browser haben nicht gemeckert, da ja das Zertifikat von Google von einer weltweit vertrauten CA stammte.
Also, was darfs sein? Ich bleib weiter bei meinen Fingerprints.... Jeder wie er lustig ist.
Kai Pautsch
NUTZER sind menschen, die nicht ihr halbes leben in pcs investieren, für die der pc nur funktionieren soll. ich mach oft genug first level support...
ich will sehen wie DU einer dame vom empfang erklärst was ein fingerprint ist, was ein ssl-handshake ist und wie ssl funktioniert...
Arnold
Wenn diese Dame für mich arbeitet dann muss ich, oder mein Admin oder wer auch immer dafür sorgen, dass ihr Browser sinnvoll vorkonfiguriert ist, und diese Konfiguration irgendwie gewartet wird, firmenintern. Ich behaupte auch nicht, dass alle Techniken dafür schon existieren. Aber machbar ist das.
Und dieses "der Ottonormalverbraucher muss es nutzen können"-Totschlagargument ist auch Unsinn. Du verlangst ja auch nicht, dass Flugzeuge so konstruiert werden, dass ich mich ohne Schulung da reinsetzen kann und nicht abstürze.... Irgendwie erwartet aber immer jeder, dass alles an Computern funktionieren muss, ohne das Hirn einzuschalten.
Kai Pautsch
du weißt nicht, ob die zielseite das cert einfach geändert hat oder ob ein MITM dahinter steckt, wenn du nur nach dem fingerprint gehst, da steht ja nicht drin HA:CK:ER:... oder rufst du bei jedem seitenbetreiber an und fragst, ob der fingerprint des ssl-cert stimmt und gleichst mit dem am telefon buchstabe für buchstabe ab, wohl eher nicht!
du musst den fingerprint, wenn du nur nach dem gehst über einen anderen weg als das internet überprüfen und das kannst du nicht.
und wie du einen otto normalverbraucher das beibringst wie das mit dem SSL und deinem super tollen plugin funktioniert ohne, dass du alle halbe stunde hinrennen darfst will ICH sehen. mach erstmal eine längere zeit first level support...
Arnold
Wie ich schon sagte, nicht alles lässt sich so vereinfachen, dass es jeder versteht. Ja richtig, SSL zu erklären vor der Browsernutzung ist unrealistisch. Bessere Systeme als jetzt lassen sich aber definitiv entwickeln und wären auch umsetzbar; das jetzige CA-System hat mehr als nur ein paar Risse und ist einfach chaotisch. Zumindest sind MITM Attacken auf Ottonormaluser damit noch immer weitaus realistischer auch für nicht-Regierungen durchführbar als man denken möchte. Siehe die anderen Kommentare hier für ein paar Beispiele.
Worauf ich aber ursprünglich hauptsächlich hinauswollte ist ja, dass zumindest für so ein Blog hier oder andere kleinere Seiten ein selbstsigniertes Zertifikat ausreichend ist und auch verifizierbar. Das mit dem zweiten Kommunikationskanal ist Quatsch und paranoid - das habe ich ja in meinem letzten Kommentar hier schon erklärt... Das ist vielleicht beim Onlinebanking gut, aber da wirds ja auch von einigen Banken gemacht, per Post.
Anonym
Und wie machst Du das bei Seiten die mehrere Server haben und auf denen verschiedene Sets von Zertifikaten hernehmen (z.B. google, meines Wissens die citibank & ziemlich viele seiten die CDNs hernehmen). Alle 5 Minuten wieder auf OK drücken?
Ganz davon abgesehen - wie stellst Du fest ob eine Zertifikatsänderung legitim ist oder nicht?
Wir analysieren im Moment die Änderungen von Zertifikaten auf Servern wie sie (mehr oder weniger) live passieren. Und - wenn ich mir anschaue was sich da so ändert - ich wäre manuell nicht in der Lage zu erkennen, was ein Angriff ist und was nicht. Selbst sehr große Seiten machen komische Sachen - da gibt es oft alte Zertifikate die noch lange gültig sind - und dann wird mal lustig die CA gewechselt - teilweise auch nicht auf allen Servern. Ohne wirklich lange rumzugraben rauszubekommen ob das legitim ist...
> HAHAHA. Recherchier mal ein bisschen, das ist schon mehrmals vorgekommen. Sei es durch Verfahrensfehler bei den CAs, oder durch Bugs in den Browsern (z.B. der Nullchar-Bug vor ~2 Jahren)
Es gab noch einen lustigen wo einer mit der Mailadresse sslcertificates@live.com ein Zertifikat für live.com bekommen hat . Und Türktrust hat vor kurzem aus versehen zwei Kunden CA Zertifikate statt Serverzertifikate ausgestellt (einfach so).
> Der Iran hat das übrigens auch schon gemacht: Weil die ja ne eigene CA haben, haben sie MITM Attacken auf google mail durchgeführt. Aufgefallen ist das nur Chrome Usern, da der Browser die Zertifikate von Google eingebacken hat, und alles andere ignoriert. Alle anderen Browser haben nicht gemeckert, da ja das Zertifikat von Google von einer weltweit vertrauten CA stammte.
War keine CA vom Iran, war DigiNotar. Und Chrome hat auch nicht direkt die Zertifikate von Google eingebacken - Chrome weiss, welche CAs zertifikate für google unterschreiben können und lehnt alles andere ab. (Fast das gleiche - aber doch nicht ganz).
Arnold
Richtig, das "citibank-Problem" aus der Convergence-Präsentation. Bei den Seiten hab ich tatsächlich keine große Wahl. Google is für mich kein Thema, habe dort keinen Account. Beim online-Banking würde mich das aufregen.
> Ganz davon abgesehen - wie stellst Du fest ob eine Zertifikatsänderung legitim ist oder nicht?
> Wir analysieren im Moment die Änderungen von Zertifikaten auf Servern wie sie (mehr oder weniger) live passieren. Und - wenn ich mir anschaue was sich da so ändert - ich wäre manuell nicht in der Lage zu erkennen, was ein Angriff ist und was nicht. Selbst sehr große Seiten machen komische Sachen - da gibt es oft alte Zertifikate die noch lange gültig sind - und dann wird mal lustig die CA gewechselt - teilweise auch nicht auf allen Servern. Ohne wirklich lange rumzugraben rauszubekommen ob das legitim ist...
Plötzliche Zertifikatwechsel fielen mir auch schon auf, interessant, dass da mal jemand ne Statistik drüber führt. Ich habe das selber schon bei 1 oder 2 der wenigen Seiten bemerkt, wo ich die Zertifikate selber prüfe. Weil es eben nur wenige Seiten gibt, wo ich wirklich sensitive Daten übertrage (vielleicht 10?), hält sich das im Rahmen.
Auch sage ich ja nicht, dass die manuelle Prüfung jetzt sofort überall anwendbar ist, eben weil sich auf das CA-System verlassen wird, von den Betreibern. Aber bei kleineren Seiten die mit selbstsignierten Zertifikaten arbeiten bin ich immer recht froh das zu sehen, weil es sich fürs manuelle Prüfen so gut eignet - die wechseln dann auch meist nicht im Minutentakt das Zertifikat. Dass das CA System große Schwächen in der Praxis hat, scheinst du ja selbst auch so zu sehen.
Ansätze wie das erwähnte Convergence finde ich daher recht interessant, auch wenn ich das selber nicht nutze. Für das citibank-Problem müsste man da noch gute Lösungen finden.
> War keine CA vom Iran, war DigiNotar. Und Chrome hat auch nicht direkt die Zertifikate von Google eingebacken - Chrome weiss, welche CAs zertifikate für google unterschreiben können und lehnt alles andere ab. (Fast das gleiche - aber doch nicht ganz).
Mein Fehler, hätte nochmal recherchieren sollen
Zumindest könnte man festhalten, dass wenn es um dieses Blog hier geht, der Anteil an versierten Nutzern, die Zertifikate tendenziell verstehen können, höher sein dürfte als auf anderen Seiten. Von daher dürfte das ganz OK sein mit dem selbstsignierten Ding hier.
JuergenP
Andreas G.
Der Adminblogger
Und wenn Du dann gleich dabei bist, in Apache "ServerTokens Prod" und in der php.ini "expose_php = off" setzen.
Kai Pautsch
Ohne Trust bringt ein SSL-Cert nichts, wenn mir nicht der Fingerprint bekannt ist!
Arnold
Wenn man davon ausgeht, dass beim ersten Aufruf der Seite kein MITM stattfindet, kann man in Zukunft kinderleicht solche Attacken erkennen. Mit entsprechenden Browserplugins lässt sich das für bestimmte Webseiten festnageln, sodass anschließend auch ein anderes Zertifikat einer sonst vertrauenswürdigen CA Alarm auslöst.
Tetja Rediske
Daveman
Kai Pautsch
Bernd Holzmüller
basicConstraints = CA:true
keyUsage = critical,keyCertSign,cRLSign
nsCertType = objsign,sslCA,emailCA,objCA
Fertig!
dingens
Sebastian
Dann hat die Aktion absolut gar keinen Mehrwert sondern unterstützt dieses "Cert Fehler? Klicke okay und gut"-Verhalten.
L.E.
gutscheine zum ausdrucken
Kai Pautsch
jhb
http://www.stern.de/tv/sterntv/handy-app-hackt-internetprofile-vorsicht-vor-offenen-wlan-netzwerken-1997552.html