Neuer SSL-Gau: Falsches Google-Zertifikat und Apple reagiert mal wieder nicht

dirkt schrieb:
Hört sich für mich alles sowieso nit gerade "vertrauenswürdig" an
Zum Vergrößern anklicken....
Intrinsisch natürlich nicht. Da kommt dann der User ins Spiel, der die Zertifikate ja entsprechend verwalten kann. Die Vertrauenswürdigkeit der Zertifikate (bzw. der Schlüssel) ist in der Kryptografie generell ein Problem.
 
Nuja… dazu müsste der user erstmal wissen, was es damit alles auf sich hat und nach welchen kriterien er entscheiden soll, was nu als sicher und was als unsicher gilt. Ich oute mich da mal ganz frei… und muss gestehen, ich hab nit den blassesten schimmer von zertifikaten :(
 
Die ganze Sache ist natürlich auch vollkommen sinnlos, wenn sie nur dann funktioniert, wenn alle Nutzer ein Informatik-Studium hinter sich haben...
 
Grettir schrieb:
Die ganze Sache ist natürlich auch vollkommen sinnlos, wenn sie nur dann funktioniert, wenn alle Nutzer ein Informatik-Studium hinter sich haben...
Zum Vergrößern anklicken....
Lies dir noch mal den Artikel durch. Gegen MitM-Attacken kann man sich nur schützen, wenn man die Identität des Empfängers auf anderem (konventionellen) Weg verifizieren kann. Das ist hier die größte Schwachstelle, und hast zunächst mal nichts mit überragenden technischen Fertigkeiten zu tun, sondern v.a. damit, dass es eine ziemlich aufwendige Geschichte sein dürfte, auf diesem Weg eine Chain of trust für den alltäglichen Internetgebrauch aufzubauen.
 
Prima.. wir engagieren dann mal eben ne detective agency, um unsere "trusted" certificates prüfen zu lassen :eek: :D
 
d.h. was muss ich jetzt machen, um damit alles wieder sicher ist? Der Anleitung dieser mysteriösen Website folgen?
Hab da echt kein Plan von. Vielleicht erklärt das hier mal jemand DAU-sicher?

mfG
 
Graumagier schrieb:
auf dieser Seite ganz nach unten scrollen und der Step by Step-Anleitung folgen.
Zum Vergrößern anklicken....

Damit werden die DigiNotar Zertifikate zwar gelöscht, aber laut Deinem Link #30 (http://arstechnica.com/apple/news/2...ble-to-attacks-using-fake-diginotar-certs.ars) steht ganz unten unter einem aktuellen UPDATE, dass ein Löschen nach neuester Erkenntnis nicht ausreicht :confused:
Also sollte man eventuell doch das dort angegebene "package" herunterladen und ausführen? Hat das hier schon jemand gemacht?
 
DigiNotar löschen.jpg
Graumagier schrieb:
Die Zertifikate werden eben nicht gelöscht, sondern als nicht vertrauenswürdig markiert.
Zum Vergrößern anklicken....

Das Markieren "als nicht vertrauenswürdig" war mein erster Schritt auch, da ein Löschen leider nicht angeboten und hier auch schon angesprochen wurde.

Nun habe ich heute auf Grund der weiteren Diskussion und Deiner Links die Schlüsselbundverwaltung erneut aufgerufen, dort in das Suchfeld "diginotar" eingegeben, daraufhin erhielt ich zwei Ergebnisse,darauf mit Rechtsklick (ctrl-Mausklick) öffnet sich Kontextmenü, welches ein Löschen anbot! Dieses konnte man dann problemlos ausführen.
Siehe Screenshot: ganz oben in der Antwort versehentlich
 
AloeVera schrieb:
Nun habe ich heute auf Grund der weiteren Diskussion und Deiner Links die Schlüsselbundverwaltung erneut aufgerufen, dort in das Suchfeld "diginotar" eingegeben, daraufhin erhielt ich zwei Ergebnisse,darauf mit Rechtsklick (ctrl-Mausklick) öffnet sich Kontextmenü, welches ein Löschen anbot! Dieses konnte man dann problemlos ausführen.
Zum Vergrößern anklicken....

Guter Tipp. Was aber nach meiner Erfahrung nur geht, wenn man als Admin angemeldet ist.
 
Sicherheits-Update ist jetzt über die Software-Aktualisierung verfügbar.
 
Zitieren
  • Gefällt mir
Reaktionen: Sive und AloeVera
Graumagier schrieb:
Viel interessanter, entsprechend muss ich auch meine vorherigen Aussagen revidieren: http://arstechnica.com/apple/news/2...ble-to-attacks-using-fake-diginotar-certs.ars
Zum Vergrößern anklicken....

Von dort wird weiterverlinkt zu ps-enable.com - interessante Seite:

"Update (9-Sep-2011 5:43 PM EDT): Apple has finally released an official fix for Snow Leopard and Lion. Go get it! I will still be creating a Leopard-specific package anyway, since there are a lot of people who are running Leopard on PPC machines. Still no sign of an update for iOS, unfortunately."
http://ps-enable.com/articles/diginotar-revoke-trust

Noch einmal, damit es nicht untergeht:
"Still no sign of an update for iOS, unfortunately."

Walter.
 
walter_f schrieb:
Noch einmal, damit es nicht untergeht:
"Still no sign of an update for iOS, unfortunately."
Zum Vergrößern anklicken....

Apple will evtl. vor iOS 5 kein weiteres iOS4 Update rausgeben.
Es geht ja nur um die vernachlässigbare Sicherheit der Anwender und nicht um wichtige iLifestyle-Features.:klopfer:
 
Zurück
Oben Unten