SSL TLS Verschlüsselung

[Hausbesetzer]

Woran erkennt man, dass das verlinkte Zertifikat unsicher ist?

Man kann zb die Fingerprints vergleichen https://launchpad.net/ubuntu/+source/openssl-blacklist/
Aber es gibt auch irgendwo ein Plugin für den Firefox glaub ich

Und dass es genuegend User gibt, die nicht wissen, was sie tun, wuerde ich jetzt nicht als Schwachstelle der Verschluesselung ansehen

Die Implementierung ist die Schwachstelle - und an dieser Hürde (der guten Implementierung) scheitern nahezu alle heutigen Sicherheitsmechanismen. Solange meine Oma keine E-Mail Verschlüsselung einsetzen kann weil sie es nicht versteht, wird das halt nix.

 

[Mai_Ke]

Die Implementierung ist die Schwachstelle - und an dieser Hürde (der guten Implementierung) scheitern nahezu alle heutigen Sicherheitsmechanismen. Solange meine Oma keine E-Mail Verschlüsselung einsetzen kann weil sie es nicht versteht, wird das halt nix.

Das GPG-Plugin fuer Apple Mail war eigentlich auch fuer Anfaenger recht einfach zu bedienen. Leider laeuft das Plugin seit 10.5.6 bei mir nicht mehr

Jetzt teste ich gerade Thunderbird und auch hier laeuft eigentlich alles recht easy Also gibt es schon Mittel und Wege, wenn man will...

Hier gibt es einen Link zum Firefox-SSL Plugin: http://codefromthe70s.org/sslblacklist.aspx

Demnach ist das Zertifikat meiner Firewall schon mal sicher


Edit:

SSL ist problemlos per Man-in-the-middle Attacke zu umgehen

Demnaechst werde ich stolzer Besitzer eines SSL-VPN Endpunkts sein und da wuerde mich schon mal interessieren, wie sicher das Teil ist. Wenn das Wetter mal wieder so ist, dass man draussen sitzen kann, wuerde ich ein Treffen irgendwo bei einem Hotspot vorschlagen, bei dem wir testen koennen, wie sicher SSL, bzw. wie einfach 'Man in the middle' ist

 

[Hausbesetzer]

Hier noch ein Update zum Thema SSL:
https://blog.startcom.org/?p=145

Anscheinend gibt es eine CA bei der man einfach so für andere Domains SSL Zertifikate beantragen kann - da hat sich einer zb für mozilla.org ein GÜLTIGES Zertifikat geholt !!

Man je mehr man sich mit SSL beschäftigt, desto schlimmer wird das.

Um also die Anfangsfrage zu beantworten: Nein, SSL ist NICHT sicher. Leider.

Demnaechst werde ich stolzer Besitzer eines SSL-VPN Endpunkts sein und da wuerde mich schon mal interessieren, wie sicher das Teil ist. Wenn das Wetter mal wieder so ist, dass man draussen sitzen kann, wuerde ich ein Treffen irgendwo bei einem Hotspot vorschlagen, bei dem wir testen koennen, wie sicher SSL, bzw. wie einfach 'Man in the middle' ist

Kein Problem - ich kaufe mir einfach bei o.g. CA ein SSL Zertifikat für Deinen Endpunkt muhahaha ist das geil, SSL ist so fürn *****

 

[Mai_Ke]

Und wie sorgst Du dafuer, dass ich ein anderes Zertifikat von meinen Endpunkt akzeptiere? Nachdem ich ja bei meiner Hardware der SysAdmin bin, muesste ich eigentlich wissen, wann ich ein neues Zertifikat erstellt habe

Mich wuerde einfach mal interessieren, wie sicher das System von SSL ist. Mal ausgenommen von der Dummheit mancher User, die einfach blind auf alles klicken, was sich irgendwie bewegt...

 

[Hausbesetzer]

Mich wuerde einfach mal interessieren, wie sicher das System von SSL ist. Mal ausgenommen von der Dummheit mancher User, die einfach blind auf alles klicken, was sich irgendwie bewegt...

Wenn 90% der Leute das System falsch bedienen - liegt das dann am System oder an den 90% der Leuten? (Ist so immer eine der ersten Fragen in Usability-Kursen)

Die Tatsache, dass sämtliche zwischen 2006 und 2008 eingesetzten (Debian) SSL Zertifikate KEINEN Schutz brachten (dh ich die Onlinbankingsitzung zu BankXY im LAN zb im Klartext mitlesen konnte) sollte wohl zeigen, dass SSL eigentlich fürn ***** ist

Und wie sorgst Du dafuer, dass ich ein anderes Zertifikat von meinen Endpunkt akzeptiere?

Wenn Du es nicht akzeptierst, musst Du zur Maschine laufen - anderen Zugriff hast Du dann nämlich nicht mehr bei Man-in-the-middle

 

[Mai_Ke]

Wenn Du es nicht akzeptierst, musst Du zur Maschine laufen - anderen Zugriff hast Du dann nämlich nicht mehr bei Man-in-the-middle

Wenn ich die Auswahlhabe, ein Fake-Zertifikat zu akzeptieren, oder in diesem Hotspot auf mein VPN zu verzichten, dann werde ich natuerlich das Fake akzeptieren

 

[Hausbesetzer]

Wenn ich die Auswahlhabe, ein Fake-Zertifikat zu akzeptieren, oder in diesem Hotspot auf mein VPN zu verzichten, dann werde ich natuerlich das Fake akzeptieren
:

Cool, ich kenne nicht viele Leute die bei jedem SSL Verbindungsaufbau den Fingerprint des SSL Zertifikats anschauen

 

[Mai_Ke]

???

Ich hab gerade bei meiner Firewall zum Test ein neues Zertifikat erstellt und da bekomme ich beim ersten Login eine dicke Fehlermeldung, dass das Zertifikat nicht mit dem Zertifikat uebereinstimmt, das bisher verwendet wurde... Da muss man nicht extra den Fingerprint ueberpruefen.

 

[Hausbesetzer]

Und hier der Todesstoß für SSL
http://www.heise.de/newsticker/25C3...auf-das-SSL-Zertifikatsystem--/meldung/121005

 

[MacMännchen]

Und hier der Todesstoß für SSL

Die eigentliche Schwachstelle liegt nicht im SSL-Protokoll, sondern im MD5 Hash-Algorithmus.
Für SSL-Zertifikate bedeutet das, dass die CAs jetzt in der Pflicht stehen, auf sichere Algorithmen umzustellen.

 

[Hausbesetzer]

Die eigentliche Schwachstelle liegt nicht im SSL-Protokoll, sondern im MD5 Hash-Algorithmus.

Schon klar, aber das Resultat - SSL ist löchrig wie ein Schweizer Käse - ist das gleiche.

 

[lundehundt]

wie schuetzt ihr eigentlich eure Briefkaesten

Nicht, dass ich was gegen Sicherheit haette. Allerdings gilt in dem Unternehmen, in dem ich unter anderem an der Desaster Recovery Planung mitarbeite der Grundsatz: der Aufwand um Schaden abzuwenden sollte nicht groesser sein als die Kosten, die durch den Schaden verursacht werden koennne

 

[MacMännchen]

Schon klar, aber das Resultat - SSL ist löchrig wie ein Schweizer Käse - ist das gleiche.

Nein, das stimmt so nicht.
Deine Aussage ist gleichbedeutend mit "SSL ist generell unsicher". Wie ich weiter oben schon sagte, ist es Sache der betroffenen CAs, ihren Algorithmus umzustellen.

Jeder, der ein Cert beantragt, sollte im Zweifelsfall bei seiner CA anfragen, und ihr auf die Finger klopfen, ggf. auch den Anbieter wechseln.
Hierzu ist sowohl im Heise Bericht, als auch im ursprünglichen Artikel der Sicherheitsforscher nachzulesen, welche(r) Anbieter in erster Linie betroffen ist...

 

[Hausbesetzer]

Es gibt unzählige MD5 Zertifikate da draussen und solange das so ist (und das wird auch noch lange so bleiben) werden Browser diese anstandslos akzeptieren und solange ist SSL nicht sicher, da "normale" Enduser nicht erkennen können, ob sie jetzt tatsächlich per SSL mit ihrer Bank und oder mit einem Chinaserver kommunizieren.

 

[Mai_Ke]

Also ich hab jetzt meinen SSL-Konzentrator laufen und bin mit der Loesung des Fernzugriffs auf mein internes Netz eigentlich ganz zufrieden. Das ist schon mal wesentlich mehr Aufwand und Sicherheit, als die meisten User nutzen...

Falls jemand der Meinung ist, man koennte sich da einfach und bequem per Man in the middle reinhaengen und den Datentransfer entschluesseln, kann man gerne mal einen Test machen Frei nach dem Motto: Versuch macht kluch

 

[Hausbesetzer]

Und weiter geht's mit dem verrosten von SSL
http://www.heise.de/newsticker/Open...hte-Zertfikate-unterschieben--/meldung/121325