Skip to Content.
Sympa Menu

cacert-de - Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"


Chronological Thread 
  • From: Bernhard Fröhlich <bernhard AT cacert.org>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Heise: Falsche Zertifikate: Schutz gegen künfti ge "Diginotare"
  • Date: Sat, 19 Nov 2011 13:39:44 +0100
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT cacert.org; dkim-asp=none

Am 19.11.2011 13:05, schrieb Denis Knauf:

Hallo,

Es liefert schon eine bessere Sicherheit,  aber ein Angriffsvektor bleibt eben bestehen:  Bootstrapping.
HTTP-Spoofing ist übrigens bei Verschlüsselten verbindungen nicht möglich.

Dass alte Server und Browser weiterhin einer Unsicherheit ausgeliefert sind,  bleibt immer bestehen.  Man kann technisch keine Lösung entsickeln,  die nicht Änderungen technischer Art unnötig machen.
Aber zumindest ist diese Lösung für Server und Klient abwärtskompatibel.

Was ich nur noch nicht verstanden habe, ist,  wie will man das Zertifikatetauschen am Ende des Jahres ermöglichen?


Wenn ich es richtig verstanden habe dann speichert der Browser nicht die Zertifikate selber sondern den Herausgeber/CA. D.h. ein Problem hast Du dann wenn Du deinen Zertifikats-Provider wechseln willst, das wird dann wohl nicht mehr auf die Schnelle gehen.

Möglicherweise hilft dieser Vorschlag dass falsche Zertifikate schneller auffliegen. Aber ich kann mir auch vorstellen dass es einfach zu viele false positive Meldungen gibt, sich deshalb keiner drum schert und jeder doch den (hoffentlich vorhandenen) "Override"-Button klickt.

Für CAcert dürfte das m.E. nur minimale Auswirkungen haben.

MfG
Ted

Gruß
Denis

Am 19.11.2011 00:26 schrieb "Benedikt Heintel" <benedikt AT heintel.org>:
> ich sehe den Vorschlag kritisch, er liefert keine wirkliche Sicherheit.
> Es gibt zu viele Manipulationsmöglichkeiten:
> * HTTP-Header spoofing
> * Pinning kann Server unerreichbar machen
> * Webserver und Browser müssen das Verfahren unterstützen (keine
> Sicherheit für ältere Browser und Webserver
>
> Gruß
> Benedikt
>
>
> Am 16.11.2011 19:06, schrieb Stefan Bruening:
> > Tach auch,
> >
> > wie ist eure Meinung dazu?
> >
> > http://www.heise.de/security/meldung/Falsche-Zertifikate-Schutz-gegen-kuenftige-Diginotare-1380164.html
> >
>


Attachment: smime.p7s
Description: S/MIME Kryptografische Unterschrift




Archive powered by MHonArc 2.6.16.

Top of Page