OCSP Prüfung für SSL Zertifikate
Hallo, ich stelle gerade fest, dass die aktuellen Versionen von Thunderbird und Firefox SSL Zertifikate online über OCSP überprüfen. Wenn das aktiviert ist, kann ich aber weder die Posteo.de Webseite aufrufen, noch Mails an SMTP senden. Um Posteo benutzen zu können, habe ich die OCSP Prüfung in TB und FF abschalten müssen. Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen. Wenn Posteo Post von Mozilla.org bekommt, werden die wohl schon gucken... Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, 21 Dec 2015 00:09:47 +0100
Malte Gell
Hallo,
ich stelle gerade fest, dass die aktuellen Versionen von Thunderbird und Firefox SSL Zertifikate online über OCSP überprüfen.
Wenn das aktiviert ist, kann ich aber weder die Posteo.de Webseite aufrufen, noch Mails an SMTP senden.
Um Posteo benutzen zu können, habe ich die OCSP Prüfung in TB und FF abschalten müssen.
Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.
Wenn Posteo Post von Mozilla.org bekommt, werden die wohl schon gucken...
Gruß Malte
Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen. Das gesamte System ist komplett unbrauchbar. Mit etwas Nachdenken kommt man da auch selbst drauf wenn man sich fragt warum die _eigene_ kontrollierte Technik dadurch sicherer werden soll dass man ein Zertifikat von einem voellig unbekannten Suedafrikaner kauft. Fakt ist SSL und Zertifikate sind ein Geschaeft und haben _nichts_ mit Sicherheit zu tun. Allerspaetestens seit dem Flop von Diginotar muss jedem klar sein, dass ein gekauftes Zertifikat keine Sicherheit sondern eingekaufte Unsicherheit bedeutet. Solange das SSL/Zertifikatsystem keine dezentral organisierten, nicht gehandelten self-signed Varianten brauchbar unterstuetzt ist es _wertlos_. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.12.2015 um 00:47 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 00:09:47 +0100 Malte Gell
wrote: Hallo, (...) Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.
Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen.
Naja, Kratzer hatte mein Weltbild schon vorher durch die ganzen SSL Geschichten, aber die Stufe völlige Wertlosigkeit hatte ich noch nicht erreicht... Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. Da war doch mal eine web of trust CA, Name fällt mir gerade nicht ein. Könnte nicht eine relativ vertrauenswürdige Organisation eine CA abgeben? Z.B. die FSF oder ähnlich? Oder man gründet einen gemeinnützigen Verein als CA, Mitglieder werden dann alle, die ein Zertifikat brauchen. Richtlinien in der Vereinssatzung verankert, für alle einsehbar, keine Backdoors. Wenn keiner was auf die Beine stellt bleibt dann halt noch die brute force Methode, eigenes Zertifikat erstellen, ggf. mit GPG signiert zum Download anbieten und hoffen, dass es sich als allg. sicher akzeptiert etabliert.... Emailanbieter könnten dann vielleicht auch den Fingerabdruck altmodisch per Post zukommen lassen. An Ideen dürfte es wohl nicht mangeln, wenn selbst mir sowas morgens um 2 einfällt...!? Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell:
Am 21.12.2015 um 00:47 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 00:09:47 +0100
Malte Gell
wrote: Hallo, (...) Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.
Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen.
Naja, Kratzer hatte mein Weltbild schon vorher durch die ganzen SSL Geschichten, aber die Stufe völlige Wertlosigkeit hatte ich noch nicht erreicht...
Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. Da war doch mal eine web of trust CA, Name fällt mir gerade nicht ein. Könnte nicht eine relativ vertrauenswürdige Organisation eine CA abgeben? Z.B. die FSF oder ähnlich? Oder man gründet einen gemeinnützigen Verein als CA, Mitglieder werden dann alle, die ein Zertifikat brauchen. Richtlinien in der Vereinssatzung verankert, für alle einsehbar, keine Backdoors.
Wenn keiner was auf die Beine stellt bleibt dann halt noch die brute force Methode, eigenes Zertifikat erstellen, ggf. mit GPG signiert zum Download anbieten und hoffen, dass es sich als allg. sicher akzeptiert etabliert....
Emailanbieter könnten dann vielleicht auch den Fingerabdruck altmodisch per Post zukommen lassen.
An Ideen dürfte es wohl nicht mangeln, wenn selbst mir sowas morgens um 2 einfällt...!?
Wie wärs damit: https://letsencrypt.org/ ?
Gruß Malte
Gruß Markus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.12.2015 um 03:10 schrieb Markus Dellermann:
Hallo,
Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell:
Am 21.12.2015 um 00:47 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 00:09:47 +0100
Malte Gell
wrote: Hallo, (...) Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.
Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen.
Naja, Kratzer hatte mein Weltbild schon vorher durch die ganzen SSL Geschichten, aber die Stufe völlige Wertlosigkeit hatte ich noch nicht erreicht...
Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)
Wie wärs damit: https://letsencrypt.org/
"It´s automated", da muss man dann nicht mehr weiterlesen... Vielleicht eine Verbidnung aus web of trust und CA, die beide Welten verbindet, vielleicht wäre das eine Lösung.... Man könnte es auch ganz altmodisch machen, wenn ich mich recht erinnere, war in einem Prospekt meiner Sparkasse der Fingerprint deren Zertifikat abgedruckt. Warum soll das ein Emailanbieter nicht auch machen können, oder ebay oder Banken, einfach für ne Briefmarke den Fingerprint nach Hause schicken. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Malte, hallo Leute, Am Montag, 21. Dezember 2015 schrieb Malte Gell:
Am 21.12.2015 um 03:10 schrieb Markus Dellermann:
Am Montag, 21. Dezember 2015, 01:55:56 schrieb Malte Gell: ...
Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)
Wie wärs damit: https://letsencrypt.org/
"It´s automated", da muss man dann nicht mehr weiterlesen...
Naja, die anderen Zertifikatsanbieter haben auch Automatisierung - und ob jetzt mit einer Mail an webmaster@, root@ etc. [1] oder durch Ausliefern bestimmter Dateien über http validiert wird, macht nicht wirklich einen Unterschied. Im Gegenteil - über http kann keiner [1] ausnutzen. (Bei den teuren EV-Zertifikaten mit einer Extraportion Schlangenöl ;-) gibt es dann wohl noch eine manuelle Prüfung.) Es gibt noch einen zweiten Unterschied - die meisten Zertifizierungsstellen lassen sich ihren "Stempel" teuer bezahlen, letsencrypt.org ist kostenlos. (CACert auch, aber die werden leider nicht von den üblichen Browsern akzeptiert.) Ja, über den Client von letsencrypt.org gibt es geteilte Meinungen, aber AFAIK man kann das Ganze auch ohne Automatisierung über einen klassischen CSR durchziehen. Nervt nur etwas, weil die Zertifikate nur 3 Monate Laufzeit haben ;-)
Vielleicht eine Verbidnung aus web of trust und CA, die beide Welten verbindet, vielleicht wäre das eine Lösung....
CAs sind quasi kaputt (mindestens eine der > 200, denen Dein Browser vertraut, und somit effektiv alle ;-) - nur gibt es leider noch keinen funktionierenden Ersatz. Das web of trust funktioniert bei GPG halbwegs, weil sich Personen gegenseitig überprüfen und das bestätigen können. Ich habe aber noch keinen gesehen, der bei einer Keysigning-Party einen Personalausweis mit Name "meinedomain.de" vorzeigen konnte ;-) - daher ist mir etwas schleierhaft, wie das bei Domains funktionieren soll. AFAIK gibt es Überlegungen, das Ganze via DANE zu machen - das verlagert das Vertrauen von CAs zu DNSSEC und reduziert immerhin die Anzahl der beteiligten CAs. Zudem würde es den CAs das Geschäftsmodell kaputtmachen (für DANE reicht self-signed), was die Chancen dieser Lösung reduzieren könnte ;-)
Man könnte es auch ganz altmodisch machen, wenn ich mich recht erinnere, war in einem Prospekt meiner Sparkasse der Fingerprint deren Zertifikat abgedruckt. Warum soll das ein Emailanbieter nicht auch machen können, oder ebay oder Banken, einfach für ne Briefmarke den Fingerprint nach Hause schicken.
Können ja, nur a) sind das bei ebay oder einem Freemailer ziemlich viele Briefmarken ;-) und b) glaube ich, dass höchstens 5% [2] der Bankkunden den Fingerprint einmal überprüfen und höchstens 0,1% den Fingerprint jedesmal überprüft. Sprich: gute Idee, funktioniert aber dank Faulheit der User nicht ;-) Gruß Christian Boltz [1] Bei manchen Anbietern gibt es eine nette Liste zur Auswahl - und ich wäre nicht überrascht, wenn eine oder zwei dieser Adressen bei manchen Freemailern nicht dem Server-Admin gehören ;-) [2] das ist eine sehr optimistische Schätzung... --
Oh, please, don't do that. I can get used to it..... ;-) [> Will Stephenson and Agustin Benito Bethencourt in opensuse-project]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, 21 Dec 2015 01:55:56 +0100
Malte Gell
Am 21.12.2015 um 00:47 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 00:09:47 +0100 Malte Gell
wrote: Hallo, (...) Ich frag mich, ob OCSP überhaupt ein echter Gewinn ist... Jedenfalls animiert es vielleicht die Leute, sich gescheite Zertifikate zu besorgen.
Sorry wenn ich Dein Weltbild zerstoere, aber das was heutzutage unter "gescheite Zertifikate" laeuft kannst Du alles in die Tonne hauen.
Naja, Kratzer hatte mein Weltbild schon vorher durch die ganzen SSL Geschichten, aber die Stufe völlige Wertlosigkeit hatte ich noch nicht erreicht...
Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. Da war doch mal eine web of trust CA, Name fällt mir gerade nicht ein. Könnte nicht eine relativ vertrauenswürdige Organisation eine CA abgeben?
Das ist bereits der Fehler im System. Wenn man auf Treu und Glauben setzen muss ist man schon verloren. Das Konstrukt "vertrauenswuerdige Struktur" existiert nicht. Denkbar waere meiner Ansicht nach eine im Zertifikat eingebettete URL. Der Ueberpruefer koennte warnen wenn die URL nicht in dieselbe Domain zeigt (also moeglicherweise jemand anders gehoert). Technisch liefe das auf die Umkehrung des heutigen Verfahrens hinaus wo self-signed als unsicher vom Browser gezeigt werden und Dritt-Zertifizierte als sicher. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.12.2015 um 09:29 schrieb Stephan von Krawczynski:
On Mon, 21 Dec 2015 01:55:56 +0100 Malte Gell
wrote: Im Grunde fehlt doch eine vertrauenswürdige CA Struktur. (...)
Das ist bereits der Fehler im System. Wenn man auf Treu und Glauben setzen muss ist man schon verloren. Das Konstrukt "vertrauenswuerdige Struktur" existiert nicht.
Ganz ohne Vertrauen geht es aber nicht. Wir vertrauen alle in Rijndael/AES und Co und wir vertrauen darauf, dass die openSUSE Binaries keine Backdoors enthalten. openSUSE unterliegt den USA Exportgesetzen, steht in der Lizenz, der du zugestimmt hast. Damit unterliegt openSUSE auch dem US Patriot Act. Und der kann Softwarehersteller zu verschwiegener Kooperation zwingen. Und jetzt?
Denkbar waere meiner Ansicht nach eine im Zertifikat eingebettete URL. Der Ueberpruefer koennte warnen wenn die URL nicht in dieselbe Domain zeigt (also moeglicherweise jemand anders gehoert).
Ähm das ist doch jetzt schon so? Ich hatte schon https Seiten vor den Augen, deren Zertifikat nicht zur URL gepasst haben und Firefox hat gemeckert. Das schützt aber auch nicht vor DNS Manipulationen, dann kann man doch noch beim Mann in der Mitte landen. Müsste man dann nicht auch noch die numerische IP der Adresse in das Zertifikat einbauen? Und wenn du etwas in das Zertifikat einbettest, muss es signiert werden um Manipulation zu erkennen und dann mit welchem Schlüssel? Da schließt sich dann wieder der Kreis. Web of Trust oder was zentrales, ich seh da nix anderes. Man könnte doch web of trust und zentrale CA miteinander verknüpfen. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Christian Boltz
-
Malte Gell
-
Markus Dellermann
-
Stephan von Krawczynski