[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Was darf Sicherheit kosten und was sollte Sie uns wert sein?
[Thread Prev] | [Thread Next]
- Subject: Re: Was darf Sicherheit kosten und was sollte Sie uns wert sein?
- From: Thomas Jaeger <jaeger@xxxxxxxxxxxx>
- Date: Sun, 06 Jan 2008 13:14:10 +0100
- To: uugrn@xxxxxxxxxxxxxxx
Hallo, Marc Haber wrote: > Vor allen Dingen, weil ein gekauftes Zertifikat ja obendrein auch noch > weniger sicher ist als ein selbst gebautes: Die kommerziellen CAs > haben im Prinzip alle schonmal Mist gebaut (z.B. einem Cracker ein > Zertifikat auf den Namen Microsoft ausgestellt); bei der eigenen CA > kann ich selbst fuer die Sicherheit gerade stehen. Das halte ich fuer ein Geruecht (mit der Sicherheit). Sicher kann mal was schiefgehen, bei offiziellen Stellen faellt dies zumindest auf. Welchen Sinn haben denn Zertifikate? 1) Verschluesselung 2) Identitaet sichern Zur Verschluesselung wuerden vorerst selbst-signierte Zertifikate ausreichen, wenn man nicht das Man-in-the-middle Problem haette: Kapert man die Verbindung, so wuerde man ohne 2) und die zugehoerige Browserwarnung nicht erkennen, dass mit dem Zertifikat etwas nicht in Ordnung ist. Weiterhin muessen offizielle Zertifikatsstellen fuer Ihre Zertifikate gerade stehen. Passiert ein Unfall, so koennen relativ schnell die Rootzertifikate aus den Browsern/Umgebungen ungueltig gemacht werden (Securityupdates der OS/Browser Hersteller oder CRLs). Hast Du fuer Deine einmal ausgerollten Zertifikate aehnliche Rueckholmoeglichkeiten? Zu Deinem selbst-signierten Zertifikat: Schreiben wir uns demnaechst unsere Personalausweise in Zukunft auch selbst, weil wir dann dafuer gerade stehen? ;) Sinn und Zweck ist es, dass jemand dem ich vertraue Deine Identitaet bestaetigt. Von Dir selbst kannnst Du ja schliesslich behaupten was Du willst. Aus diesem Grund finde ich das "Web of Trust" von CA Cert nicht schlecht, da es diese Bekanntschaftsverhaeltnisse dezentral aufloest. Rechtlich ist dies jedoch vermutlich sehr wackelig. > Irgendwie ist https total kaputt: Man kann kein name-based virtual > hosting machen Dies ist nunmal der Sinn und Zweck von Verschluesselung. Soll ja keiner mitlesen koennen ;) Aber auch hier gibt es Loesungen: HTTPS-Terminierung durch den Loadbalancer um dann in der DMZ normales name-based virtual hosting zu machen. Siehe hierzu auch die Bedingungsanleitung Deiner BIG-IP ;) > Ma "fangen wir mal mit STARTTLS ueber http an" rc Damit loest Du allerdings nur das name-based virtual hosting (der Hostname koennte vor der Verschluesselung uebertragen werden). Die Zertifikats-Infrastruktur wirst Du damit nicht los. Zudem wird es schwierig sein, die Browser-, Webserver- und Loadbalancerhersteller zu ueberzeugen, der Standard hierzu existiert ja bereits seit sieben Jahren... Auch "Server Name Indication" setzt sich leider nicht so richtig durch. Vielleicht wird es ja mal Bestandteil von TLS 1.2 und erhaelt damit die entsprechende Aufmerksamkeit. Viele Gruesse Thomas -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/