Probleme mit Self Signed Certificates

ice8

Wenn kostenlose Zertifikate für mindestens 1 Jahr ausgestellt werden, dann kann man ernsthaft darüber reden.

Unter zentraler Verwaltung habe ich gemeint, dass es irgendeine (oder mehrere) Stelle(n) gibt, wo die Echtheit des Zertifikats geprüft wird. Z. B. LE. Der einzige Unterschied zum Self Signed ist nur, dass LE die "Echtheit" bestätigt. Daohne ist man genau so sicher/unsicher.

"Man in the Middle" ist IMHO bei LE-Zertifikaten nur geringfügig schwieriger. Man muss halt noch einen "Man in the Middle" zwischen dem Benutzer und LE platzieren. Also wenn man schon die FritzBox/Modem/Router/... geknackt hat, dass DNS-Anfragen manipulierbar sind, dann muss man nicht "Man in the Middle" sondern "Men in the Middle" machen =)))) Oder verstehe ich was falsch? Ein Server ist dann Proxy und der Andere bestätigt die Echtheit des Proxys.

Ah-Ja, heute ist Update auf 1.15.1130.3 gekommen, das Problem besteht immer noch. Beim Zugriff auf Seite mit Self Signed Certifikate sieht man nur den weißen Bildschirm mit nix drin. Firefox funzt einwandfrei.

Morg42

@ice8 Wenn du diese Art Sicherheit willst, musst du certificate pinning machen. Wirklich sicher ist das aber nur, wenn jeder Client das Zertifikat auch hat.

Dann wäre eine symmetrische Verschlüsselung aber wesentlich simpler weniger anfällig als TLS.

Und wenn du das LE-Zertifikat prüfst, siehst du ja, ob es auf deinen Server oder einen möglichen Proxy ausgestellt ist. Wenn du das nicht prüfst, kannst du dich gegen MITM sowieso nicht wehren.

Der Unterschied von LE ist, dass (quasi) "alle" bekannten TLS-fähigen Programme LE als Zertifizierungsstelle anerkennen, es gibt also keine Probleme mit "invalid cert". Mehr macht eine digitale Unterschrift ja eh nicht.

ice8

Eben, IMHO die Frage ist, ist es (diese bloße Prüfung, ob Zertifikat von bestimmter Seite (wer auch immer die doofe Zertifikate verkauft) ausgestellt ist) denn hunderte von Euros pro Jahr Wert? Für mich auf alle Fälle nicht! Und damit bin ich nicht alleine. Für mich soll der Browser (und sonst andere Internet- Software) die selbst signierten Zertifikate akzeptieren können!

Morg42

@ice8 Darum gehts doch eben - dafür muss man kein Geld mehr ausgeben. Du bekommst signierte und quasi von allen Programmen akzeptierte Zertifikate kostenlos. Wieso will man sich dann noch den Stress antun, überall Ausnahmen und Sonderwege einzurichten?

becm

@ice8 und genau zum akzeptieren eines selbst signierten Zertifikates wird es manuell in die vom Browser genutzte Verifikationsinfrastruktur eingepflegt.
Dann kann einem niemand ein anderes unterschieben, weil man eh immer die Warnungen wegklickt.

@Morg42 manche Domains kann man nicht signieren lassen weil sie z.B. netzintern sind. Im Firmennetz oder (geteilten) WLAN will man auch HTTPS.

ice8

@morg42 said in Probleme mit Self Signed Certificates:

Wieso will man sich dann noch den Stress antun, überall Ausnahmen und Sonderwege einzurichten?

Schwer zu erklären. Ich finde es unsicher. So etwas ist wie immer eine subjektive Einschätzung und das ist Kritisierbar.

Z. B. LetsEncrypt steht in Amerika und dortige Regierung hat ggf. Zugriff auf die dort gespeicherte Daten, auch rückwirkend. Und ohne meiner Einwilligung, davon weiß ich ggf. gar nix. Viele Firmen in Deutschland dürfen deren Daten auf amerikanischen Servern gar nicht speichern. Und ich vertraue denen die automatische Updates der Sicherheit meiner Daten nicht an.

Sicherlich bereitet mir mein Misstrauen viel Arbeit. Ich nutze z. B. kein Google Play Store auf meinem Handy (grundsätzlich fliegt die Original-Firmware gleich nach dem ersteinschalten des Handys). Bezug von Android-Apps ist etwas größere Herausforderung als die selbst signierte Zertifikate hier.

So ist aber die Welt heutzutage. Für jedes Problem gibt stets mehrere Lösungen. Die einfachste (als solche angepriesen) davon ist bei weitem nicht die Beste/Passendste. Den Preis zahlt man später. Oft Indirekt.

Z. B. siehe heutige Nachrichten ... Facebook hat die Daten benutzt/verschlampt - dem Trump damit zur Macht verholfen - jetzt kommen die Strafzölle - Arbeitsplätze gehen verloren (auch in Europa) - Tadaaaa! Super was? Hat jemand (von denen bei Facebook) was davon gelernt? Nö! Warum? Ist doch egal! Katzenvideos!!!

=))

Morg42

@ice8 Deine private Keys landen ja nie bei LE. Die bekommen den Public Key und signieren den. Das kann im Prinzip jeder, ohne dich zu fragen.

Und die Update-Prozedur läuft über eine offene Schnittstelle. Das kannst du bei Bedarf selber steuern.

Wenn du dir die Arbeit machen willst - bitte, da hält dich keiner von ab. Aber behaupte nicht, das wäre Standard und alle Software müsse das ermöglichen können, damit der durchschnittliche User nicht abgeschreckt wird. Das ist scheinheilig.

ice8

@gwen-dragon said in Probleme mit Self Signed Certificates:

Ja und? Welche Daten? Dort liegt kein Privater Schlüssel!

Wie ich schon sagte, dies ist ein subjektives Sicherheitsgefühl. Und da ich es nicht kontrollieren kann, ob der Schlüssel nur bei mir bleibt, traue ich dem ganzen nicht.

Ich habe bissl. gegooglet. Es gibt ein Gerücht, dass Certbot sich selbst automatisch updatet, dies muss man manuell (mit --no-self-upgrade) unterbinden. Und Admins beschweren sich auch, dass es nicht hilft. Angeblich ändern sich trotzdem die Dateien des Certbots. (Achtung! Selbst nicht getestet, im Netz gefunden!!!)

Da Updates mindestens ein mal in 3 Monaten sein müssen, besteht IMHO z. B. die Gefahr mir einen Fake-Certbot unterzujubeln. Wenn man schon dann die Kontrolle hat, kann man was auf dem Server installieren. Spätestens nach 3 Monaten habe ich wieder den sauberen Certbot. Ich habe nix gemerkt und der Server ist gehackt.

Nochmal, das ist die Theorie. Ich habe momentan keine Zeit mich in die Materie sauber reinzulesen. Und ich verstehe auch wie es nach außen klingt. Man muss bei mir Vertrauen zu dem System aufbauen. Und das wird keiner machen. Ich auch nicht - keine Zeit.

Das andere ist (auch leicht googelbar), dass LE viele (über 14K!) Certs für PayPal ausgestellt hat, was Phishing erleichtert. Die Frage ist: warum greifen die amerikanische Behörden nicht ein? Mit gesundem bis übertriebenen Misstrauen kann man vermuten, dass die Behörden was wissen, was wir nicht wissen und greifen nicht ein, weil sie evtl. an die Hintermänner ran wollen. Wie viel die Behörden dabei an Infos/Werkzeuge haben kann man nicht genau sagen.

@morg42 said in Probleme mit Self Signed Certificates:

Aber behaupte nicht, das wäre Standard und alle Software müsse das ermöglichen können, damit der durchschnittliche User nicht abgeschreckt wird. Das ist scheinheilig.

Nur weil dein Standpunkt (Fehler vom Browser zu verteidigen) schwach ist und dir die Argumente ausgehen, musst nicht gleich beleidigend werden.

Zähl mir mal auf, welche Browser die selbst signierte Zertifikate nicht beherrschen. Vielleicht verstehst du dann was von den Mindestanforderungen für einen Internet-Browser.

PS: Heutige Version 1.15.1132.3 - Problem besteht immer noch.

Morg42

@ice8 said in Probleme mit Self Signed Certificates:

Wie ich schon sagte, dies ist ein subjektives Sicherheitsgefühl.

Schon immer eins der besten Argumente für Kritik.

Ich habe momentan keine Zeit mich in die Materie sauber reinzulesen.

Aber genug Zeit zu fordern, dass andere sich Zeit nehmen, deine Wünsche umzusetzen, damit du keine Zeit dafür aufwenden musst?

Echt jetzt?

Wenigstens kommst du jetzt mal zum Punkt...

ice8

Zumindest beantworte ich die Fragen.

Auf deine letzte Frage habe ich bereits früher geantwortet. Ich schreibe jetzt nicht nochmal was du eh davor nicht gelesen hast.