Skip to Content.
Sympa Menu

cacert-de - Re: Zertifikats-Widerruflisten (CRL)

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Zertifikats-Widerruflisten (CRL)


Chronological Thread 
  • From: Philipp Gühring <pg AT futureware.at>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Zertifikats-Widerruflisten (CRL)
  • Date: Mon, 13 Jul 2009 01:35:10 +0200

Hallo,

>> Aber ich schätze mal, dass sie Schwierigkeiten mit den Modem Usern 
>> bekommen würden bei CRL Größen von 20 MB ...
> 
> Da könnte man doch die Leute warnen: "Sie benutzen ein Modem. Das
> bedeutet lange Downloadzeiten der CRLs. Wollen Sie wirklich automatische
> Updates aktivieren?"

Naja, wenn das Modem direkt am Rechner hängt, ja, aber wenn noch ein
Router dazwischen ist, dann wird er schwierig das zu erkennen.

> Du meinst, die Downladzeiten der ganzen Listen sind für viele zu groß,
> und Delta-CRLs oder wie auch immer klappen nicht recht?

Ja, genau. Du willst nicht täglich 100 MB an CRLs runterladen müssen.
(10 MB pro CA von der du ein Zertifikat prüfen willst)

>> beim First-Contact tun sie das leider nicht.
> 
> Das geht doch grundsätzlich nicht anders, oder doch?

Eben.

>> (Und bis jetzt liefert noch kein Browser-Hersteller bei der Browser- 
>> Installation auch gleich die zum damaligen Zeitpunkt verfügbaren CRLs
>> mit)
> 
> Hmmm, könnte man nicht zumindest den Mozilla-Leuten das nahelegen?

Du meinst, dass sie bei den Firefox Downloads statt 20 MB dann 1 GB
benötigen?

>> und nicht mit zufälligen Seriennummern kompatibel.
> 
> Was heißt "zufällig"? Nicht der Reihe nach vergeben? Das ist doch eine
> Schwachstelle, die Nummern der Reihe nach zu vergeben!

Warum tun das die meisten X.509 CA Software Pakete dann?
Die Seriennummern nicht der Reihe nach zu vergeben ist auch mühsamer,
weil man ja sicherstellen muss, dass Seriennummern nicht doppelt
vergeben werden.


>> Naja, und dann wären wir bei OCSP.
> 
> Das tut bei mir auch nicht sauber. Bei Firefox kann ich es aktivieren
> und es scheint zu gehen. Wenn ich aber bei Thunderbird OCSP einschalte,
> dann bekomme ich Fehlermeldungen, wenn ich Mails signieren oder
> verschlüsseln will.

Kannst du bitte mit Wireshark den Traffic protokollieren, und mir mit
Screenshots und Beschreibungen zukommen lassen?

>> Das Problem ist insgesamt, dass die Software-Anbieter wesentlich mehr
>>  Interesse an der Validierung der Zertifikate als am Widerruf der 
>> Zertifikate haben. Weder bei X.509 noch bei OpenPGP findet man viel
>> Interesse an skalierbaren, vertrauenswürdigen und verfügbaren
>> Widerrufs-Infrastrukturen.
> 
> Das kann ich nicht recht verstehen. Um Zertifikate sinnvoll nutzen zu
> können, muß ich doch wissen, welche Zertifikate gültig und welche
> zurückgezogen sind. Sonst kann ich es doch gleich bleiben lassen!

Das Problem ist, dass bis auf einen Angreifer (und der redet
normalerweise nicht darüber) meistens fast niemand weiss, ob ein
Zertifikat kompromittiert wurde, oder nicht.

Wenn man von einer durchschnittlichen Verseuchungsrate von PCs von 10%
ausgeht, dann müßte man eigentlich 10% der Zertifikat widerrufen.
(Oder sie sollten gar nicht ausgestellt werden)

Das nächste Problem sind die geklonten Zertifikate die durch
Kollisions-Schwachstellen in den Hashalgorithmen erzeugt werden.
Bei denen hat die CA das Problem, dass sie vom Klonen eines Zertifikats
wenig mitbekommt, und sollte sie dann etwas von der Existenz des
Zertifikats mitbekommen, dann kann sie bei den derzeit vorhandenen CRLs
und OCSP nur die Seriennummer des Klons widerrufen, wodurch aber
potentiell andere, gültige, Zertifikate in Mitleidenschaft gezogen werden.


Schöne Grüße,
Philipp Gühring




Archive powered by MHonArc 2.6.16.

Top of Page