Probleme mit Self Signed Certificates
-
@morg42 said in Probleme mit Self Signed Certificates:
Und so soll jedes Programm, das Internet-Zugriffe nutzt, seine eigene Zertifikatverwaltung mitbringen?
häm ... Firefox macht das, NextCloud/Owncloud macht das, AquaMail macht das und sogar Conversations (Jabber-client für Android) macht das. Und außer Firefox sind es alles Beispiele viel einfacherer Software als Vivaldi. Verwaltung gibt es dort zwar nicht wirklich, aber man kann dauerhaft Zertifikate zulassen. Das kann ich mit der aktuellen Vivaldi-Version nicht. Ich kann ohne weiteres auf meine Nextcloud-Installation einfach nicht zugreifen.
Ich habe nicht gesagt, man soll Windows-Zertifikate nicht benutzen. Man kann ja auch parallel: eigener Speicher mit Verwaltung und Windows-Zertifikate wie sie bereits jetzt schon sind. Oder?
@morg42 said in Probleme mit Self Signed Certificates:
s.o. - self-signed certificates sind keine Default-Einstellungen
Self Signed Certificate sind keine default Einstellungen für den Server. Der Benutzer hat mit Einrichtung des Servers nichts (nicht immer was) zu tun. Für Benutzer soll die Seite auch von Haus aus funktionieren (vielleicht mit Warnung, aber funktionieren), wenn der Serverbetreiber Self Signed Certificate benutzt.
Ist zwar bissl Offtopic, aber ich sage es trotzdem: Genau aus so einer Haltung: "es funzt doch irgendwie - nutze und halte den Mund" sind wir jetzt an der Stelle, wo es kaum noch Offline-Navigation gibt. Wo alle von Benutzern bezahlte Bücher/Videos/... auf fremden Servern liegen und die Verkäufer diese jede Zeit löschen können und jedem ist egal ob du dafür bezahlt hast. Wo die Leute (Normalos) nicht gewohnt sind die Musik/Videos/Bilder lokal aufm Handy zu speichern. Ist doch egal, funzt doch mit gewissem Internetvolumen auch, bezahle, halte den Mund und mische die Leute nicht auf. Es gibt kaum Lösungen Dateien mit Android automatisch (ohne Fremdserver) zu synchronisieren (nur Zuhause mit PC): nutze google und halte die Klappe, funzt doch! Sogar eine doofe Wetter-App braucht unbedingt Internet und ist nicht fähig Daten vom letzten mal lokal zu speichern. Ist doch cool oder? Schau dass Netz hast und dein Problem ist gelöst. Noch vor 7 Jahren was so ein Zustand undenkbar und galt moralisch als Betrug. Super oder? Alles nur weil Benutzer keinen (nicht genügend) Druck auf Hersteller ausüben.
Versuche mal zu googeln warum selbst signierte Zertifikate schlechter sind als die gekauften. Da wirst staunen, beide verschlüsseln abhörsicher. Unterschied ist nur Geld. Und dein Selbstbewusstsein. Das blöde Deep Packet Inspection kann auch selbst signierte Zertifikate nicht knacken.
Scheißen wir doch heute drauf, dass die Browser keine Selbst signierte Zertifikate akzeptieren. In 5 Jahren wirst als Serverbetreiber nix mehr selbst signieren können (kein Browser wird die Seite von Haus aus aufmachen können). Alles wirst als Serverbetreiber kaufen müssen. Die Verkäufer von Zertifikaten freuen sich und geben dir als Benutzer Recht. Kämpfe für deren Geld! Und bezahle am Ende (auch wenn indirekt) selbst.
-
@ice8 said in Probleme mit Self Signed Certificates:
@morg42 said in Probleme mit Self Signed Certificates:
Und so soll jedes Programm, das Internet-Zugriffe nutzt, seine eigene Zertifikatverwaltung mitbringen?
häm ... Firefox macht das, NextCloud/Owncloud macht das, AquaMail macht das und sogar Conversations (Jabber-client für Android) macht das. Und außer Firefox sind es alles Beispiele viel einfacherer Software als Vivaldi. Verwaltung gibt es dort zwar nicht wirklich, aber man kann dauerhaft Zertifikate zulassen
Das ist aber was anderes als eine komplette Zertifikatsverwaltung. Keine eigenen Root-Zertifikate, keine Revocation-Listen und -teste und kein nach Möglichkeit manipulationssicherer Speicher. Ausnahmen speichern ist was anderes.
Ich habe nicht gesagt, man soll Windows-Zertifikate nicht benutzen. Man kann ja auch parallel: eigener Speicher mit Verwaltung und Windows-Zertifikate wie sie bereits jetzt schon sind. Oder?
Hab ich auch nicht behauptet. Erst recht nicht, wenn es nur Ausnahmen sind. Aber Ausnahmen "einfach" zuzulassen läuft dann schon dem normalen Webverhalten entgegen. Wenn ich mir die "Sicherheitsempfehlungen" und "Sicherheitswarnungen" ansehe, wird mir übel. Seiten werden nicht sicher oder unsicher durch HTTPS...
@morg42 said in Probleme mit Self Signed Certificates:
s.o. - self-signed certificates sind keine Default-Einstellungen
Self Signed Certificate sind keine default Einstellungen für den Server.
Dann soll der Betreiber den Server in Ordnung bringen. Self-signed ist ok, wenn ich weiß, was ich tue und es nur für mich ist. Wenn es auch für die Familie ist, muss ich es denen eben einrichten.
Oder ich nehme Zertifikate, die allgemein akzeptiert sind und nichts kosten.
Für Benutzer soll die Seite auch von Haus aus funktionieren
...das liegt aber am Serverbetreiber...
(vielleicht mit Warnung, aber funktionieren), wenn der Serverbetreiber Self Signed Certificate benutzt.
Dann soll der dafür sorgen, dass es geht. Ist heute nicht mehr notwendig, anderen sowas aufzudrücken.
Ist zwar bissl Offtopic, aber ich sage es trotzdem: Genau aus so einer Haltung: "es funzt doch irgendwie - nutze und halte den Mund" sind wir jetzt an der Stelle, wo es kaum noch Offline-Navigation gibt.
Ich weiß zwar nicht, wie du jetzt darauf kommst, die Logik dahinter kann ich nicht nachvollziehen...
Wo alle von Benutzern bezahlte Bücher/Videos/... auf fremden Servern liegen und die Verkäufer diese jede Zeit löschen können und jedem ist egal ob du dafür bezahlt hast.
...aber das mag ich auch nicht. Wenn es auf einem Server liegt, dann auf meinem.
Wo die Leute (Normalos) nicht gewohnt sind die Musik/Videos/Bilder lokal aufm Handy zu speichern.
Das liegt aber nicht an self-signed certificates oder an blöden Standardeinstellungen, sondern a) daran, dass nur DRM noch halbwegs Erträge sichern kann und b) dass es so schön bequem ist. Jederzeit jeden Film sehen, für umsonst. Juhu.
Ich hab zuhause nicht mal Mobilfunkempfang...
Sogar eine doofe Wetter-App braucht unbedingt Internet und ist nicht fähig Daten vom letzten mal lokal zu speichern.
Dann kauf ne richtige Wetterapp.
Alles nur weil Benutzer keinen (nicht genügend) Druck auf Hersteller ausüben.
Oder auf den Serverbetreiber, um mal zu deinen Zertifikaten zurück zu kommen.
Versuche mal zu googeln warum selbst signierte Zertifikate schlechter sind als die gekauften. Da wirst staunen, beide verschlüsseln abhörsicher.
Ich staune nicht, ich weiß das.
Unterschied ist nur Geld.
Falsch. Aber nochmal schreibe ich es jetzt nicht hier hin. Wenn du es bisher überlesen hast oder ignorieren wolltest, bitte.
Alles wirst als Serverbetreiber kaufen müssen.
Nein. Nur den Server bzw. die Anbindung. Signierte Zertifikate gibt es auch kostenlos.
-
Wir können hier das ganze Thema vollstreiten, oder auch nicht
@morg42 said in Probleme mit Self Signed Certificates:
Hab ich auch nicht behauptet. Erst recht nicht, wenn es nur Ausnahmen sind. Aber Ausnahmen "einfach" zuzulassen läuft dann schon dem normalen Webverhalten entgegen.
Genau das meinte ich, genau das funzt in 1.15.1125.3 (bei mir) nicht.
Ich sehe (wenn ich meine Nextcloud-Installation über https aufrufe) nur komplett weißes Bild mit nix drin und als Tab-Beschriftung gibts "Datenschutzfehler". IMHO kein Zustand für Browser. Und Ihr versucht mich (indirekt) davon zu überzeugen, dass es so OK ist. Daher hier der Streit.@morg42 said in Probleme mit Self Signed Certificates:
Unterschied ist nur Geld.
Falsch.
Mag ich lesen wie, die zentrale Verwaltung von Zertifikaten sicherer ist, als die Nutzung von selbst signierten. Bitte nicht mit Paketen vergleichen, wo man ein Mal pro 6 Stunden neues Zertifikat bekommt. Zertifikat gegen Zertifikat.
@morg42 said in Probleme mit Self Signed Certificates:
Nein. Nur den Server bzw. die Anbindung. Signierte Zertifikate gibt es auch kostenlos.
Dazu bitte mehr, ich hab nix gefunden, wo man keine Skripte auf eigenem Server installieren muss (das ist erst unsicher). Die billigsten, die ich kenne kosten 29 € pro Jahr.
-
@ice8 Keine Skripte ist relativ. Auch gekaufte müssen (meist) jährlich erneuert werden. Selber machen? Skript selber schreiben? Offene Schnittstellen nutzen?
Letsencrypt hat 3 Monate Laufzeit und kann über (offene) Schnittstellen aktualisiert werden. In der neuen Version ACME2 auch mit Wildcard und ohne direkten Zugriff auf den Browser (über DNS TXT). Oder du schaust in die Skripte rein, ist ja alles offen und dokumentiert.
Kostenlose Zertifikate sind nicht das Gleiche wie zentral verwaltete... bei LE werden die auch lokal erzeugt und auf dem Server signiert.
-
Wenn kostenlose Zertifikate für mindestens 1 Jahr ausgestellt werden, dann kann man ernsthaft darüber reden.
Unter zentraler Verwaltung habe ich gemeint, dass es irgendeine (oder mehrere) Stelle(n) gibt, wo die Echtheit des Zertifikats geprüft wird. Z. B. LE. Der einzige Unterschied zum Self Signed ist nur, dass LE die "Echtheit" bestätigt. Daohne ist man genau so sicher/unsicher.
"Man in the Middle" ist IMHO bei LE-Zertifikaten nur geringfügig schwieriger. Man muss halt noch einen "Man in the Middle" zwischen dem Benutzer und LE platzieren. Also wenn man schon die FritzBox/Modem/Router/... geknackt hat, dass DNS-Anfragen manipulierbar sind, dann muss man nicht "Man in the Middle" sondern "Men in the Middle" machen =)))) Oder verstehe ich was falsch? Ein Server ist dann Proxy und der Andere bestätigt die Echtheit des Proxys.
Ah-Ja, heute ist Update auf 1.15.1130.3 gekommen, das Problem besteht immer noch. Beim Zugriff auf Seite mit Self Signed Certifikate sieht man nur den weißen Bildschirm mit nix drin. Firefox funzt einwandfrei.
-
@ice8 Wenn du diese Art Sicherheit willst, musst du certificate pinning machen. Wirklich sicher ist das aber nur, wenn jeder Client das Zertifikat auch hat.
Dann wäre eine symmetrische Verschlüsselung aber wesentlich simpler weniger anfällig als TLS.
Und wenn du das LE-Zertifikat prüfst, siehst du ja, ob es auf deinen Server oder einen möglichen Proxy ausgestellt ist. Wenn du das nicht prüfst, kannst du dich gegen MITM sowieso nicht wehren.
Der Unterschied von LE ist, dass (quasi) "alle" bekannten TLS-fähigen Programme LE als Zertifizierungsstelle anerkennen, es gibt also keine Probleme mit "invalid cert". Mehr macht eine digitale Unterschrift ja eh nicht.
-
Eben, IMHO die Frage ist, ist es (diese bloße Prüfung, ob Zertifikat von bestimmter Seite (wer auch immer die doofe Zertifikate verkauft) ausgestellt ist) denn hunderte von Euros pro Jahr Wert? Für mich auf alle Fälle nicht! Und damit bin ich nicht alleine. Für mich soll der Browser (und sonst andere Internet- Software) die selbst signierten Zertifikate akzeptieren können!
-
@ice8 Darum gehts doch eben - dafür muss man kein Geld mehr ausgeben. Du bekommst signierte und quasi von allen Programmen akzeptierte Zertifikate kostenlos. Wieso will man sich dann noch den Stress antun, überall Ausnahmen und Sonderwege einzurichten?
-
@ice8 und genau zum akzeptieren eines selbst signierten Zertifikates wird es manuell in die vom Browser genutzte Verifikationsinfrastruktur eingepflegt.
Dann kann einem niemand ein anderes unterschieben, weil man eh immer die Warnungen wegklickt.@Morg42 manche Domains kann man nicht signieren lassen weil sie z.B. netzintern sind. Im Firmennetz oder (geteilten) WLAN will man auch HTTPS.
-
@morg42 said in Probleme mit Self Signed Certificates:
Wieso will man sich dann noch den Stress antun, überall Ausnahmen und Sonderwege einzurichten?
Schwer zu erklären. Ich finde es unsicher. So etwas ist wie immer eine subjektive Einschätzung und das ist Kritisierbar.
Z. B. LetsEncrypt steht in Amerika und dortige Regierung hat ggf. Zugriff auf die dort gespeicherte Daten, auch rückwirkend. Und ohne meiner Einwilligung, davon weiß ich ggf. gar nix. Viele Firmen in Deutschland dürfen deren Daten auf amerikanischen Servern gar nicht speichern. Und ich vertraue denen die automatische Updates der Sicherheit meiner Daten nicht an.
Sicherlich bereitet mir mein Misstrauen viel Arbeit. Ich nutze z. B. kein Google Play Store auf meinem Handy (grundsätzlich fliegt die Original-Firmware gleich nach dem ersteinschalten des Handys). Bezug von Android-Apps ist etwas größere Herausforderung als die selbst signierte Zertifikate hier.
So ist aber die Welt heutzutage. Für jedes Problem gibt stets mehrere Lösungen. Die einfachste (als solche angepriesen) davon ist bei weitem nicht die Beste/Passendste. Den Preis zahlt man später. Oft Indirekt.
Z. B. siehe heutige Nachrichten ... Facebook hat die Daten benutzt/verschlampt - dem Trump damit zur Macht verholfen - jetzt kommen die Strafzölle - Arbeitsplätze gehen verloren (auch in Europa) - Tadaaaa! Super was? Hat jemand (von denen bei Facebook) was davon gelernt? Nö! Warum? Ist doch egal! Katzenvideos!!!
=))
-
@ice8 Deine private Keys landen ja nie bei LE. Die bekommen den Public Key und signieren den. Das kann im Prinzip jeder, ohne dich zu fragen.
Und die Update-Prozedur läuft über eine offene Schnittstelle. Das kannst du bei Bedarf selber steuern.
Wenn du dir die Arbeit machen willst - bitte, da hält dich keiner von ab. Aber behaupte nicht, das wäre Standard und alle Software müsse das ermöglichen können, damit der durchschnittliche User nicht abgeschreckt wird. Das ist scheinheilig.
-
@gwen-dragon said in Probleme mit Self Signed Certificates:
Ja und? Welche Daten? Dort liegt kein Privater Schlüssel!
Wie ich schon sagte, dies ist ein subjektives Sicherheitsgefühl. Und da ich es nicht kontrollieren kann, ob der Schlüssel nur bei mir bleibt, traue ich dem ganzen nicht.
Ich habe bissl. gegooglet. Es gibt ein Gerücht, dass Certbot sich selbst automatisch updatet, dies muss man manuell (mit --no-self-upgrade) unterbinden. Und Admins beschweren sich auch, dass es nicht hilft. Angeblich ändern sich trotzdem die Dateien des Certbots. (Achtung! Selbst nicht getestet, im Netz gefunden!!!)
Da Updates mindestens ein mal in 3 Monaten sein müssen, besteht IMHO z. B. die Gefahr mir einen Fake-Certbot unterzujubeln. Wenn man schon dann die Kontrolle hat, kann man was auf dem Server installieren. Spätestens nach 3 Monaten habe ich wieder den sauberen Certbot. Ich habe nix gemerkt und der Server ist gehackt.
Nochmal, das ist die Theorie. Ich habe momentan keine Zeit mich in die Materie sauber reinzulesen. Und ich verstehe auch wie es nach außen klingt. Man muss bei mir Vertrauen zu dem System aufbauen. Und das wird keiner machen. Ich auch nicht - keine Zeit.
Das andere ist (auch leicht googelbar), dass LE viele (über 14K!) Certs für PayPal ausgestellt hat, was Phishing erleichtert. Die Frage ist: warum greifen die amerikanische Behörden nicht ein? Mit gesundem bis übertriebenen Misstrauen kann man vermuten, dass die Behörden was wissen, was wir nicht wissen und greifen nicht ein, weil sie evtl. an die Hintermänner ran wollen. Wie viel die Behörden dabei an Infos/Werkzeuge haben kann man nicht genau sagen.
@morg42 said in Probleme mit Self Signed Certificates:
Aber behaupte nicht, das wäre Standard und alle Software müsse das ermöglichen können, damit der durchschnittliche User nicht abgeschreckt wird. Das ist scheinheilig.
Nur weil dein Standpunkt (Fehler vom Browser zu verteidigen) schwach ist und dir die Argumente ausgehen, musst nicht gleich beleidigend werden.
Zähl mir mal auf, welche Browser die selbst signierte Zertifikate nicht beherrschen. Vielleicht verstehst du dann was von den Mindestanforderungen für einen Internet-Browser.
PS: Heutige Version 1.15.1132.3 - Problem besteht immer noch.
-
@ice8 said in Probleme mit Self Signed Certificates:
Wie ich schon sagte, dies ist ein subjektives Sicherheitsgefühl.
Schon immer eins der besten Argumente für Kritik.
Ich habe momentan keine Zeit mich in die Materie sauber reinzulesen.
Aber genug Zeit zu fordern, dass andere sich Zeit nehmen, deine Wünsche umzusetzen, damit du keine Zeit dafür aufwenden musst?
Echt jetzt?
Wenigstens kommst du jetzt mal zum Punkt...
-
Zumindest beantworte ich die Fragen.
Auf deine letzte Frage habe ich bereits früher geantwortet. Ich schreibe jetzt nicht nochmal was du eh davor nicht gelesen hast.
