Re: [Talk-de] SSL Zertifikats- Vertrauen in OSM-Wochennotiz
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 04.10.2014 12:31, Holger Jeromin wrote: > Hakuch Wrote in message: > >> selbst unterschriebene Zertifikate sind schon in Ordnung, >> Hauptsache es läuft verschlüsselt über ssl. Wahrscheinlich wird >> keiner es darauf anlegen und da eine Man-in-the-Middle Atacke >> machen und ein falsches Zertifikat vorhalten. > > Nein. Selbst unterschriebene Zertifikate auf öffentlichen Seiten > haben zur Folge, dass Leute ohne entsprechendes Wissen lernen, dass > es ok und richtig ist eine SSL Warnung durch zu winken. Ich habe mir vor längerer Zeit mal angeschaut, was bei einem üblichen Browser als vertrauenswürdige Institution voreingestellt ist. Demnach sollte ich dann solche Läden wie Verizon oder Microsoft für vertrauenswürdig halten. Öhm, nein, da drücke ich lieber meinen Laptop dem nächstbesten Fremden in die Hand mit dem Hinweis, dass er gerade mal darauf aufpassen soll. Beim nächstbesten Fremden habe ich immerhin keinen besonderen Grund, ihm zu misstrauen. Verizon und Microsoft stehen insofern schlechter da, und die restlichen Einrichtungen in der voreingestellten Liste sind überwiegend "nächstbeste Fremde". Daher ist der ganze Zertifikatskrempel in seinem momentanen Zustand wirklich etwas, was man getrost wegklicken kann. Gruß, Mark -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQIcBAEBAgAGBQJUMA7vAAoJEBrjxFVQEkD/ctsP/jHCdw8xqqoTuZwJpVpUJGx7 +eAxyEFv+illtAWVC3Pmdg6zhzgoDs1j0SvUskNudGceFNSHG4eGJk2LFriXSsFA WEkHapz3bTN2N5yaveow/947tdFC2c+vBew4QHdSMmwObK6f9CC8lO2xrxyYZy8C 0uozK4Zhm+RU8PGjzDMmBGsieSQblEDLPY00l5WAE6BXsY6SgQGwCieVKl2FhxLl oCyF5pSyEJJ2CUrO/UmOMeaArwuG2RK0dUk87+nfbKK+f61bA7V0W61NPjZ7J5TB LW0wVFAoVdJwFycLCH1Vyjncc3D+tx8a9RgxpcA+czqWT1QgTV2+ull3KmCuc5AE 2VZKtNbH34tLmbnV+NpoEP3sX0smwwpCMA88CPX82Rb0F1WbOYjTZ0J2HoYt69h5 stH2KneIQHOaGqOV64zUtySFKEzO7ZC0DszSXumohaqkRBHEIB5c1FdyRO8ez4a2 4TEs2k1QiddXw3Ffh/MJyKF80omkYuWaKMIOPMUJhhz1mDKd+AQSm5gSyUe89Z72 dauVsqSOUWIV+mPpYs/DRp4K1Vy6bs43uEAjNb5Ho31/LeBlR8JSnuSD7Ws7VBN4 FamRSmzEBRD4kSeFzvtZKjU8NS+mfB4+oSRK0GgVGSQ8afqC4jd59nAI++IYcNM1 fauN9F1+m68GXtvgjUOV =3uU0 -END PGP SIGNATURE- ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] SSL Zertifikats- Vertrauen in OSM-Wochennotiz
On Sat, Oct 04, 2014 at 12:31:27PM +0200, Holger Jeromin wrote: > Hakuch Wrote in message: > > > selbst unterschriebene Zertifikate sind schon in Ordnung, Hauptsache es > > läuft verschlüsselt über ssl. Wahrscheinlich wird keiner es darauf > > anlegen und da eine Man-in-the-Middle Atacke machen und ein falsches > > Zertifikat vorhalten. > > Nein. Selbst unterschriebene Zertifikate auf öffentlichen Seiten > haben zur Folge, dass Leute ohne entsprechendes Wissen lernen, > dass es ok und richtig ist eine SSL Warnung durch zu winken. > > Daher sollte man so links hier nicht veröffentlichen. Ansonsten bekommen sie beigebracht das die Auswahl des Browsers über die CA Root Zertifikate vertrauenswürdig ist und das die Mitarbeiter bei den CAs alle Vertrauenswürdig sind. Großer Bulshit. Es ist beliebig einfach zertifikate für google.com oder microsoft.com zu bekommen. Im zweifelsfalle reicht eine gefälschter Auszug aus dem Handelsregister. Und wenn das mal nicht klappt dann kapert man eine der Zertifizierungsstellen. SSL Root Zertifikate sind eine der schlimmsten fehler der ganzen CryptoSSL/TLS veranstaltung weil es die Vertrauenswürdigkeit auf andere verlagert. Bei einem Self-Signed zertifikat kann ich jedes einzelne zertifikat PERSÖHNLICH akzeptieren oder es lassen. Beides ist kaputt. Flo PS: Bitte CACert unterstützen. Hier ist immer die PERSON entscheidend, nicht ein zwefelhaftes Schriftstück aus der feder eine beliebigen institution. -- Florian Lohoff f...@zz.de signature.asc Description: Digital signature ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] SSL Zertifikats- Vertrauen in OSM-Wochennotiz
tja, das ist wohl nicht ganz unberechtigt. Einerseits heisst das aber nicht, das "richtige" Zertifikate soviel sicherer wären. Dann besorge ich mir halt ein Zertifikat von einer Firma die in der Browserliste gespeichert ist und halte das vor. Das diese "vertrauenswürdigen" CE-Firmen teilweise so schlampig prüfen ob ich wirklich Inhaber einer Domain bin, ist das durchaus auch machbar. Da muss sich schon DANE durchsetzen, obwohl ich davon auch noch nicht so überzeugt bin. Das Zertifikatsthema ist auf jeden Fall schwer zu vermitteln für den normalen Nutzer, und wer schaut denn schon in die Liste seiner Browserzertifikate oder vom Emailprogramm? Dennoch bin ich immer noch der Meinung, so viel wie möglich verschlüsseln. Denn um jemenaden mit Zertifikaten auszutricksen ist ein gezielter(er) Angriff von Nöten. Unverschlüsselte Daten werden auf jeden Fall immer und überall mit abgegraben. On 04.10.2014 12:31, Holger Jeromin wrote: > Hakuch Wrote in message: > >> selbst unterschriebene Zertifikate sind schon in Ordnung, Hauptsache es >> läuft verschlüsselt über ssl. Wahrscheinlich wird keiner es darauf >> anlegen und da eine Man-in-the-Middle Atacke machen und ein falsches >> Zertifikat vorhalten. > > Nein. Selbst unterschriebene Zertifikate auf öffentlichen Seiten > haben zur Folge, dass Leute ohne entsprechendes Wissen lernen, > dass es ok und richtig ist eine SSL Warnung durch zu winken. > > > Daher sollte man so links hier nicht veröffentlichen. > ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] SSL Zertifikats- Vertrauen in OSM-Wochennotiz
Hakuch Wrote in message: > selbst unterschriebene Zertifikate sind schon in Ordnung, Hauptsache es > läuft verschlüsselt über ssl. Wahrscheinlich wird keiner es darauf > anlegen und da eine Man-in-the-Middle Atacke machen und ein falsches > Zertifikat vorhalten. Nein. Selbst unterschriebene Zertifikate auf öffentlichen Seiten haben zur Folge, dass Leute ohne entsprechendes Wissen lernen, dass es ok und richtig ist eine SSL Warnung durch zu winken. Daher sollte man so links hier nicht veröffentlichen. -- Holger ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de