Julius: Zertifikat Probleme allgemein

Beitrag lesen

Meta

Zertifikat Probleme allgemein

Julius
+4 Informationen zu den Bewertungsregeln

Hallo Henry,

danke für deine große Mühe mir das näher beizubringen.

Gerne 😀

Aber ich glaube, bin da ein hoffnungsloser Fall ;-) Ich bin deinen Ausführungen, Links und den Fußnoten gefolgt, ebenso nochmal vielen anderen Dossiers im Netz. Es will einfach nicht in meinen Kopf. Aber das ist ein grundsätzliches Problem bei mir, ich muss immer die Hintergründe verstehen um dann die Informationen nachzuvollziehen.

Bei deinen erwähnten Fußnoten war z.B. https://www.heise.de/newsticker/meldung/Hotel-WLAN-manipuliert-alle-abgerufenen-Webseiten-1517525.html . Ich frage mich dann, hilft da jetzt der Aufruf einer verschlüsselten Webseite oder nicht, weil das Hotel ja eh dazwischen ist.

Das ist durchaus ein Problem, gut erkannt! Dafür gibt es eine Technik namens HTTP Strict Transport Security (kurz HSTS), die Websites einsetzen können, um einem besuchenden Browser mitzuteilen: „Hey, ich werde ab jetzt x Sekunden lang [z.B. 63072000s = 2 Jahre] verschlüsselt erreichbar sein!“ der Browser merkt sich das dann und ab dann verweigert er während dieser Zeitdauer die Aufnahme unverschlüsselter Verbindungen und weist den Nutzer im Falle des Falles darauf hin.

Jetzt ist es natürlich so, dass dieser Schutz nicht funktioniert, wenn der Browser die Seite zum allerersten Mal oder nach einer längeren Zeit als beim letzten Aufruf angegeben (Regel ist dann ungültig, weil abgelaufen) im unsicheren Hotel-WLAN aufruft. Auch dafür gibt es Lösungen: Lange Zeitdauern, in denen die Regel gültig ist (senkt die Wahrscheinlichkeit, dass die Regel abgelaufen ist, wenn ich die Seite erneut aufrufe) und eine Liste mit Seiten, die HSTS (und HTTPS) einsetzen und bestimmte Kriterien erfüllen. Diese Liste liefern Browserhersteller dann mit ihren Browsern aus (Chrome, Firefox, Opera, Safari, IE 11 und Edge) und die Nutzer sind dann von Anfang an geschützt, sofern die betreffende Seite auf der Liste steht und der Browser-Download nicht manipuliert war (unwahrscheinlich, da schwierig zu realisieren (die ausführbaren Dateien sind meist digital signiert)).

Natürlich kann man auch das Zertifikat selbst auch fälschen, aber das ist extrem(st?) schwierig. Auch hiergegen gibt es eine Technik:
HTTP Public Key Pinning – Das Funktionsprinzip ist ähnlich wie bei HSTS. Der Browser bekommt mitgeteilt „Hey, ich verwende in der kommenden Dauer x nur folgende Zertifikate“, er merkt sich das und verweigert eine Verbindung, wenn sich an den Zertifikaten etwas geändert hat.

Ich kann mich leider nicht mehr genau daran erinnern, aber vor etlichen Jahren hatte ich ein ähnliches Problem mit Vodafone oder Telekom(bin nicht mehr sicher), alle Seiten die ich aufrief hatten einen veränderten Inhalt. Der Provider erläuterte das damals mit schnellerem Netz(in Wahrheit wars sogar langsamer), weil sie speziell Cacheversionen auslieferten... What the F... sollte das, hatte mich richtig geärgert, fand und finde das absolut unverschämt und fiel mir auch nur auf, weil ich beim Aufruf eigener Seiten, veränderten Code vorfand. Irgendwie nannte mir der Providerservice dann auch eine Möglichkeit, das zu verhindern, habe leider vergessen was es war. Routereinstellung oder bei denen im Kundenbreich...weiß es leider nicht mehr...

Das würden HTTPS und HSTS auch verhindern, aber beides wurde auf vielen Seiten erst in letzter Zeit verstärkt eingesetzt (imho haben da die kostenlosen Zertifikate von Let’s Encrypt einiges angeschoben).

Weißt du zufällig noch, ob damals auch HTTPS-Seiten betroffen waren? Um an über HTTPS übertragenen Inhalten etwas zu manipulieren, müsste der Provider damals entweder auf eine unverschlüsselte Version umgeleitet haben (würde HSTS verhindern) oder für die betroffenen Seiten ein eigenes Zertifikat, das von keiner Zertifikationsstelle – wie sie in den Browsern als vertrauenswürdig voreingestellt sind – „unterschrieben“ wurde, einsetzen (das hätte aber schon damals einen Fehlermeldung gegeben, da das Zertifikat von keiner als vertrauenswürdig markierten Stellen ausgestellt wurde).

Ein anderes, aber thematisch verwandtes Thema sind sogenannte Captive Portals:
Wenn du dich in ein WLAN einwählst, das eine Anmeldung verlangt, so wirst du dann – egal welche Seite du aufrufst – immer auf die Anmelde-Seite weitergeleitet, bis du dort die erforderlichen Aktionen durchgeführt hast (angemeldet, Nutzungs-Bedingungen akzeptiert). Im Prinzip ist das ein Man-in-the-Middle-Angriff, wie du ihn oben beschriebst (aka „Optimierung“). Das wird aufgrund HTTPS und HSTS bald nicht mehr funktionieren, außer man benutzt eine Seite wie NeverSSL.com.

Was will ich eigentlich damit sagen? Das ich mir nicht richtig vorstellen kann, dass TLS solche Sachen verhindert(auch wenns so ist, aber das ist eben schwer verständlich) Ich denke da, eher unbedarft, wenn jemand sich schon in den Datenstrom hacken kann, dann kann er auch mehr... Sonst wären wahrscheinlich auch so Sachen wie der unverschämte Bundestrojaner nicht möglich.

Der setzt nach allem, was über ihn bekannt ist, auch an einer anderen Stelle als der Übertragung an: Auf den Endgeräten. Wenn ich einen Trojaner auf meinem Gerät habe, kann der sowieso alles mitlesen, weil ein Browser ja über eine verschlüsselte Verbindung übertragene Inhalte ja zwangsläufig entschlüsseln muss, um sie anzuzeigen. Ein Trojaner kann außerdem problemlos Screenshots machen oder deine Tastatureingaben auslesen.

Viel größere Probleme als mit einem Bundestrojaner habe ich mit der Vorratsdatenspeicherung, weil die nicht von einem Richter angeordnet werden muss, sondern anlasslos alle(s) erfasst, die sich im Zugriffsbereich des betreffenden Gesetzes (in dem dessen Titel der Begriff „Vorratsdatenspeicherung“ noch nicht mal auftaucht). Die Politiker haben einfach noch nicht gerafft, dass klassische Polizeiarbeit mehr bringt als dieser ganze Online-Generalverdacht-Alles-Speichern-Mist:

  • Alle namentlich bekannten islamistischen Attentäter im Zeitraum 2014-17 waren gewaltaffin und den Behörden bekannt und die Hälfte von ihnen wurde gesucht oder überwacht
  • ein Mann, der Sprengstoff herstellen wollte, wurde erwischt, weil einem Baumarkt-Mitarbeiter komisch vorkam, dass er Unmengen von Dünger kaufte
  • diesem Bundeswehr-Soldaten, der als Flüchtling getarnt ein Attentat begehen wollte, kam man auf die Schliche, weil österreichische Polizisten die in einer öffentlichen Toilette deponierte Waffe gefunden haben und sich auf die Lauer gelegt haben
  • dem Täter bei dem Attentat auf den BVB-Manschaftsbus kam man auf die Schliche, weil die Börsenspekulation aufgefallen ist und darüber der Name herauszufinden war.

Klingt für mich nicht so, als ob man alle überwachen sollte, sondern eher nach einem organisatorischen Problem (MAD abschaffen („deckte“ Franco A.), die 17 Verfassungsschutzämter zusammenlegen bzw. besser miteinander kommunizieren lassen (siehe NSU, Anis Amri), mehr Personal).

In diesem Bereich hoffe ich inständig, dass die Politiker, die dafür gestimmt haben, nur unwissend sind und nicht nur ihre Wiederwahlchancen durch blinden Aktionismus verbessern wollen, letzteres würde mich endgültig desillusionieren.

Und warum verschlüsselt man nicht automatisch das ganze Netz, anstatt immer diese komplizierten Zertifikatsproblematiken und den unterschiedlichen Domainaufrufen. Also HTTP aber eben per Default verschlüsselt, müsste doch technisch gehen, dann bräuchte sich keiner mehr Gedanken darüber machen.

Am per Default-Verschlüsseln wird im Moment gearbeitet (Geolocation-API nur noch über sicherer Kontext abfragbar, Browser aktivieren HTTP/2 nur bei Übertragung über HTTPS). Aber einfach aktivieren kann man das nicht, wegen zu vieler Beteiligten. Ein anderes Problem ist, dass man weiterhin Zertifikate brauchen wird, um sicher zu sein, dass man mit der richtigen Stelle kommuniziert (→ Authentizität).

Ein weiteres Problem ist nun mal, dass man immer schön abwärts kompatibel bleiben muss (HSTS und Key Pinning wurden erst laaaaange nach HTTPS (1994 durch Netscape) eingeführt).

Also wie gesagt vielen Dank für deine Mühe, aber Du siehst schon, bei mir zu diesem Thema Hopfen und Malz verloren. Eine ausführliche Erläuterung hierauf wäre jetzt verlorene Liebesmüh, zumindest was mich betrifft.

Jetzt sei doch nicht so negativ 😉, du gehst das Thema halt kritisch an und nimmst es einfach hin, wenn dir jemand sagt „Ist alles total sicher“. Das ist vernünftig, dann fällt man auch nicht so leicht auf Leute rein, die einem HTTPS als die Lösung aller Sicherheits-Probleme verkaufen wollen[1].

Gruß
Julius

  1. „Die Daten, die unsere Server und Ihr Computer, Smartphone oder Tablet austauschen, können somit von niemandem mitgelesen oder abgefangen werden.“ – Na logo. Sind ja nur ~40 Domains Dritter kontaktiert worden. Facebook, Twitter, Google und ein ganzer Haufen Werbenetzwerke. Die können theoretisch (Hehe bei mir nicht: Ich habe uBlock, NoScript und Self-Destructing Cockies installiert.) hemmungslos Cookies setzen, JavaScript ausführen, kurz: Mich ausspionieren und tracken. „Sollten Fremde versuchen, über unsere Webseite Schadcode zu verbreiten, so ist auch das nun nicht mehr möglich.“ Ähm, doch: Eben jene ~40 Fremden. Schon mal etwas von Malvertising gehört? ↩︎

Beitrag melden
+4
Informationen zu den Bewertungsregeln
0 21

Zertifikat Problem hier im Forum?

Henry
  • zu diesem forum
  1. 0
    Christian Kruse
    1. 0
      Henry
      • sicherheit
      • tls
      • zu diesem forum
      1. 0
        Christian Kruse
        1. 0

          Zertifikat Probleme allgemein

          Henry
          • sicherheit
          • tls
          1. 3
            Julius
            1. 0
              Henry
              1. 0
                Henry
                • provider
                • sicherheit
                1. 0
                  Julius
                  • provider
              2. 4
                Julius
        2. 2

          Zertifikat Problem hier im Forum? *gelöst

          Henry
          • gelöst
          • tls
          • zu diesem forum
          1. 0
            Julius
          2. 0
            Henry
            1. 2
              Christian Kruse
              1. 0
                Matthias Apsel
            2. 0
              Der-Dennis
    2. 0

      Zertifikat Restlaufdauer abfragen

      TS
      • sicherheit
      • tls
      1. 0
        dedlfix
        1. 0
          TS
          1. 0
            dedlfix
            1. 0
              TS