WinFuture-Forum.de: Warum immer noch kein HTTPS? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5

Warum immer noch kein HTTPS?

#16 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 10:10

Beitrag anzeigenZitat (RalphS: 04. August 2018 - 09:52)

So ein Schloß kann jeder aufmachen, der will, und es macht (fast) keinen Unterschied, ob ein Schloß da hing oder nicht.

Es macht schonmal rechtlich einen Sinn. geschlossen <-> verschlossen

Der Unterschied bei https ist, dass eben nicht jeder weiß wie er es aufbekommt.^^ Das wissen die wenigsten und auch LE Zertifikaten müssen erstmal gebrochen/umgangen werden. Was genau stört dich denn an denen? Du hast ja bisher noch keine Argumente gebracht warum die unsicher sein sollen.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

Anzeige



#17 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 10:21

Naja, dass mit dem Vierkant ist nicht die beste Analogie, das passte vielleicht zu SSL1.0 mit den kuenstlich beschnittenen Schluesselllaengen, heutzutage haben wir ja 2048- oder nochmehrkantige Schluessel.

Ausserdem betrifft das alles immer noch nur die Transportverschluesselung, was bei HTTPS urspruenglich nur "Beiwerk" war.

Des Pudels Kern liegt aber in der Authentifizierung des Gegenueber, landlaeufig auch als Vertrauen bezeichnet.

Um bei der Gartenlaubenanalogie zu bleiben:
Du hast dir zum Unterstellen deiner Geraete eine Gartenlaube bei einem namhaften Anbieter besorgt (GaaS, Gartenlaube as a Service), mit so einem schoenen gruenen Schloss dran.

Die Wiese ist fertig abgemaeht, also rollst du deinen Rasenmaeher in die Laube, selbiger verwandelt sich dabei kurzzeitig in eine rosa Kaffeekanne (Transportverschluesselung), sobald er aber drinsteht, ist es wieder ein Rasenmaeher.

Am naechsten Tag wunderst du dich, warum dein Nachbar so einen tollen Rasenmaeher hat, genau der gleiche wie deiner.

Was ist passiert?
Ohne dein Wissen hat dein Nachbar die Gartenlaube ausgetauscht, gegen eine andere mit einem gruenen Schloss, also optisch genau wie deine gemietete.
Nur hat diese noch eine andere Tuer, die zum Grundstueck des Nachbarn fuehrt.

Genau hier liegt der eigentliche Sinn von HTTPS, naemlich dass du dir sicher sein kannst, dass es die richtige Gartenlaube ist, in die du dein Werkzeug reinstellst.

Aber dank Let's Encrypt(und den DV-certs, die man bei allen moeglichen Gammel-CA's billig bekommt) sagt das gruene Schloss schon lange nichts mehr aus.

Wer sicher gehen will, muesste hier bei jedem Webseitenaufruf das Zertifikat und den eingetippten Domainnamen genauer unter die Lupe nehmen

Oder mal anders gesagt:
mit Gammelzertifikaten sorgt https nur dafuer, dass dein Inhalt sicher beim falschen Empfaenger ankommt, denn du kannst dir nicht sicher sein, wer der Empfaenger ist.

Dieser Beitrag wurde von Sturmovik bearbeitet: 04. August 2018 - 10:26

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
1

#18 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 13:02

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 10:21)

mit Gammelzertifikaten sorgt https nur dafuer, dass dein Inhalt sicher beim falschen Empfaenger ankommt

Ganz tolle Geschichte ohne irgendwelche Fakten. Hm.

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. August 2018 - 13:03

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#19 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 13:14

Dann kuerze ich die Sache mal ab, ohne irgendwelche Analogien:

Wie gehst du sicher, dass der Webserver, mit dem du kommunizierst, der ist, von dem du denkst, der er ist, wenn eine Zertifizierungsstelle ohne jegliche Pruefung einfach so ein Zertifikat ausstellt?

Ja, ok, LE macht Domainvalidation, aber dafuer reicht ein schiefliegender DNS-Eintrag
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#20 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 14:44

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 13:14)

Ja, ok, LE macht Domainvalidation, aber dafuer reicht ein schiefliegender DNS-Eintrag

Der schiefliegende DNS-Eintrag hat natürlich keinen Einfluss wenn gar kein https verwendet wird stimmts? Wenn doch, warum soll das dann ein Argument gegen https sein?

Interessant ist, dass winfuture für das cdn bereits https benutzt. Scheint also doch problemlos zu funktionieren ...

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. August 2018 - 14:48

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#21 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 14:56

Beitrag anzeigenZitat (Gispelmob: 04. August 2018 - 14:44)

Der schiefliegende DNS-Eintrag hat natürlich keinen Einfluss wenn gar kein https verwendet wird stimmts? Wenn doch, warum soll das dann ein Argument gegen https sein?

Genau deswegen schrieb RalphS ja:

Zitat

Bisher weiß ich, daß die Verbindung ungesichert ist. Dann muß ich mich fragen, ob das, was mir vorgespielt wird, auch das ist, was es vorgibt.


Soll heissen: bei http ist erkennbar nicht sichergestellt, dass der Gegenueber derjenige ist, fuer den es sich ausgibt

https mit Gammelzertifikaten taeuscht Sicherheit vor, die nicht existiert.

Da ist ein ehrliches Self-Sign-Zertifikat sicherer.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
1

#22 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. August 2018 - 15:35

Hurra, einer der's verstanden hat! :imao: Daß ich das noch erleben darf.

Aber, Sturmi, vergiß es. Windmühlen, und so. Es interessiert niemanden, was drin ist, es muß nur HTTPS dranstehen.

Und ja, das sollte ich mir auch selber hinter die Ohren schreiben. :blush:
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#23 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 16:13

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 14:56)

https mit Gammelzertifikaten taeuscht Sicherheit vor, die nicht existiert.

Beitrag anzeigenZitat (RalphS: 04. August 2018 - 15:35)

Hurra, einer der's verstanden hat! :imao: Daß ich das noch erleben darf.

Ne, ihr beiden habt nicht verstanden, das man eine Diskussion nicht führen wenn man einfach nur behauptet "es ist so".

Bringt doch mal Argumente, Fakten und vorallem technische Details warum die LE Zertifikate unsicherer sein sollen als gar kein https. Davon kam bisher nichts und dann könnt ihr auch niemanden überzeugen.

Mal davon abgesehen, dass es schon irgendwie lustig ist, das 2 aus dem wf forum sich für klüger halten als das ganze LE Team und die Partner die in LE invenstieren. Ich weiß, Facebook, Cisco, Akamai, Chrome, alles Anfänger die keine Ahnung haben. Hust.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#24 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.111
  • Beigetreten: 11. September 10
  • Reputation: 458
  • Geschlecht:Männlich

geschrieben 04. August 2018 - 16:31

Es geht um »vermeintliche Sicherheiten«

Person A hat keinen Virenschutz und öffnet deswegen eine unbekannte Datei nicht.
Person B hat einen Virenschutz und öffnet die Datei, weil er sich mit seinem Virenschutz sicher fühlt.
Person C handelt wie B hat zu allem Überfluß aber nur einen gefakten Virenschutz, der gar nichts kann.

Da hat doch Person A ohne Virenschutz noch die besten Karten. Ach Mist, Analogie.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

#25 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 16:56

Beitrag anzeigenZitat (Gispelmob: 04. August 2018 - 16:13)

Bringt doch mal Argumente, Fakten und vorallem technische Details warum die LE Zertifikate unsicherer sein sollen als gar kein https. Davon kam bisher nichts und dann könnt ihr auch niemanden überzeugen.

Tun wir die ganze Zeit.

Nur damit wir nicht aneinander vorbeireden, die Qualitaet der Transportverschluesselung bei https wird von uns keineswegs angegriffen. Diese ist naemlich vom Herausgeber des Zertifikats weitestgehend unabhaengig, das haengt eher vom Webserver und dem Browser des Clients ab.

Es geht darum, zu wissen, wer am anderen Ende sitzt. Bei Extended-Validation-Zertifikaten wird von der CA geprueft, wer da hinter dem Antrag steckt und ob dieser berechtigt ist, ein SSL-Zertifikat fuer eine bestimmte Domain zu bekommen.
Das dauert in der Regel eine Weile und kostet auch etwas Geld.

Domain-validated-Certs dagegen werden nur per DNS geprueft.
-> Existiert der Webserver unter dem FQDN, fuer den das Cert ausgestellt werden soll?

Hier kann z.B. mittels DNS Poisoning nachgeholfen werden, dass ploetzlich ein anderer Server da steht. Mit Zertifikat, das kostenlos und in Sekundenschnelle generiert wurde.

Mit Vertipperdomains genau das gleiche, du holst dir die Domain wimfuture.de, laesst dir in Sekundenschnelle ein Zertifikat dafuer ausstellen und baust die Loginseite nach. Jetzt musst du nur noch dafuer sorgen, dass Unbedarfte auf dieser Seite ihre Credentials eingeben, schon hast du sie.
Der User denkt, passt schon, war ja ein gruenes Schloss dran.

Wie RalphS vor langer Zeit (zum Start von Let's Encrypt) schon mal schrieb:
aus Phishing wird PhishingS
Er hat Recht behalten, inzwischen gab es Unmengen derartiger Versuche, Logindaten von namhaften Webseiten abzufischen, allesamt mit dem schoenen gruenen Schloss, das Sicherheit suggeriert, wo keine ist.

Zu alledem kommt noch das Problem, dass X509 vertrauenstechnisch seit Jahren kaputt ist, aber das ist ein anderes Thema.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#26 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. August 2018 - 17:24

Das Problem ist, daß HTTPs bzw darunterliegend X509 kein *technisches* Problem ist. Es ist ein menschliches.

Sturmovik schrieb weiter oben was "von Authentifizierung, landläufig Vertrauen genannt", aber das ist ggf auch irreführend.

Fürs Vertrauen brauch ich nämlich die Authentifizierung. Aber die Authentifizierung gibt mir noch kein Vertrauen.

Oder andersherum. Wenn ich will, daß ein Onlineshop mir vertraut, dann muß ich sicherstellen, daß der Onlineshop mich kennt. Dazu kriegt er von mir meinen Benutzernamen und mein Paßwort; für den Onlineshop heißt das dann, okay der weiß Benutzernamen und PW, also wird der das schon sein.

Anschaulich also eine Art Benutzerausweis, den man dem Menschen an der Tür vor die Nase hält, wo draufsteht, daß "RalphS" Mitglied ist. Nicht mehr, nicht weniger. Der Onlineshop ist nicht in der Verantwortung, weiter zu verifizieren; es genügt ihm, auch weil er das Recht auf seiner Seite hat, davon AUSZUGEHEN, daß der das ist UND mit dieser Person Geschäfte einzugehen.


Mit HTTPS funktioniert das andersherum. Hier will ich wissen, daß der Onlineshop, dem ich grade für eine neue CPU Geld in den Rachen werfen will, auch wirklich der Onlineshop ist und nicht Kollege Schalumkopp, der zwar an meinem Geld, nicht jedoch an der Lieferung von CPUs interessiert ist.


Dazu besuch ich den Onlineshop und guck mir das Zertifikat an. (Naja, oder ich sollte das machen, weil sogar daran hapert es bereits.)

Steht da der Onlineshop, den ich wollte? Vertrau ich diesem Onlineshop, oder hab ich damit schon schlechte Erfahrungen gemacht? Steht da der Name eines ANDEREN Onlineshops, der vielleicht mein Geld will und mir sogar die CPU liefern würde, aber eben der ANDERE Onlineshop war, dem ich eigentlich KEIN Geld geben wollte?

Im richtigen Leben ist das wie im ÖPNV, wo irgendwann mal Kontrolleure kommen und sich MIR GEGENÜBER ausweisen müssen, bevor ICH MICH *denen gegenüber* ausweisen muß (eigentlich Client/Server-Authentifizierung - mit HTTPS geht das, nutzt aber effektiv immer noch niemand).


Kommt ein "falscher" Kontrolletti und ich geb dem meine Daten und der kassiert von mir 60 Euro wegen Schwarzfahr, dann ist das nur solange okay, wie dieser Kontrolletti im RICHTIGEN Auftrag gehandelt hatte. (Daher die Authentifizierung des Kontrollettis.) War er es NICHT und war das einfach nur so ne Drückerkolonne, dann bin ich zwar 60 Euro ärmer, aber hab die 60 Euro NICHT dem Unternehmer bezahlt, sondern IRGENDWEM, und wenn fünf Minuten später NOCHMAL Kontrollettis kommen, dann kassieren die von mir NOCH MAL 60 Euro, egal was war, auch wenn das dieselbe Bahn, derselbe Tag und auch sonst alles "dasselbe" war.

Andersherum genauso: ich kann einen richtigen Fahrschein haben und ich kann einen selber malen, oder ich kann den sonst wie manipulieren, aber dann ist er nicht mehr gültig. In jedem Fall *muß*ich aber einen haben, weil ansonsten die Authentifizierung fehlschlägt.

Kontrollettis wissen, wie Fahrscheine aussehen müssen -- bei Zertifikaten ist das die Vertrauenskette. Ansonsten würden sie mangels besseren Wissens die falschen Tickets akzeptieren und ggfs. die richtigen Tickets zurückweisen. Dasselbe gilt für jede Art der Authentifizierung: Entweder hab ich selber die Möglichkeit zur Prüfung oder ich muß das delegieren.



HTTPS/SSL im derzeit verwendeten Kontext heißt nur: Jeder hat einen Zettel in der Hand. Irgendeinen. Was da steht, ist egal, schaut eh keiner drauf. Normal würde man sagen, dann sparen wir uns die Zettel; aber bei HTTPS sind sie -formal- unabdingbar.


Es ist nicht Aufgabe der Technik, die bereitgestellte Information zu prüfen. Das müssen Menschen machen. "Die Technik" kann NUR dafür sorgen, daß die Information verlangt wird und zuverlässig prüfbar IST.

Das besorgt SSL für uns. Nicht mehr, aber auch nicht weniger. Es stellt Möglichkeiten bereit, zu fragen, ob die Website da meiner Bank gehört oder nicht, und sie ermöglicht mir, das zu überprüfen.

Aber ich MUSS das überprüfen. Tu ich das nicht, ist das einfach ein Fall von, alle Häuser in der Stadt haben Sicherheitsschlösser und jeder Bürger hat ein Schlüsselbund mit allen Schlüsseln zu allen diesen Häusern.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#27 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 17:30

Beitrag anzeigenZitat (Gispelmob: 04. August 2018 - 16:13)

Mal davon abgesehen, dass es schon irgendwie lustig ist, das 2 aus dem wf forum sich für klüger halten als das ganze LE Team und die Partner die in LE invenstieren. Ich weiß, Facebook, Cisco, Akamai, Chrome, alles Anfänger die keine Ahnung haben. Hust.

Der Unterstellung widme ich mal einen extra Beitrag, denn hier liegt wohl ebenfalls ein Missverstaendnis vor.

Ich halte mich nicht fuer klueger, ich sage nur, dass sich das ganze in die falsche Richtung entwickelt.

Punkt 1: Diese Hysterie der letzten Jahre, saemtlichen Webtraffic verschluesseln zu muessen, kann ich nur begrenzt nachvollziehen. Natuerlich, jeder, der die letzten Jahre nicht unter einem Stein geschlafen hat, weiss, dass Traffic abgeschnorchelt wird, unter anderem von drei- bis vierbuchstabigen, regierungsnahen Organisationen.
Ich bin auch kein Freund davon, saemtliche Daten im Klartext durchs Web zu pusten, wenn es um meine Privatsphaere geht. Aber die meisten Daten, die so durchs Web gehen, sind so trivial, dass Verschluesselung nur unnoetig Serverlast produziert.
Ein Beispiel: Videostreaming. Gewinnt durch https keinerlei Mehrwert, ausser dass keiner von aussen feststellen kann, welcher Porno gerade laeuft.

Damit kommen wir zum Punkt 2:
Frueher™ waren SSL-Zertifikate mit Aufwand und Kosten verbunden, da die CA geprueft hat, wer da ein SSL-Zertifikat haben will.
Somit konnte man davon ausgehen, dass der Webserver, der mit das Zertifikat fuer <unternehmen>.tld rueberreicht auch tatsaechlich von <unternehmen> betrieben wird.


Dieser Aufwand steht den von dir zitierten Unternehmen, die 'https fuer jeglichen traffic' propagieren, natuerlich im Weg. Wenn alles verschluesselt werden soll, sind nach heutigem Stand der Technik SSL-Zertifikate fuer Jedermann notwendig, ohne Aufwand, ohne Kosten. Ohne Zertifikat kein SSL, steckt in der Natur von https und einigen anderen Protokollen.
Deswegen wurde LE gegruendet. Mit dem Caveat, dass diese Methode der Zertifikatsaustellung das Vertrauen, was durch X509 frueher mal sichergestellt werden sollte ad absurdum fuehrt.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#28 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 17:37

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 16:56)

Bei Extended-Validation-Zertifikaten wird von der CA geprueft, wer da hinter dem Antrag steckt und ob dieser berechtigt ist, ein SSL-Zertifikat fuer eine bestimmte Domain zu bekommen. Das dauert in der Regel eine Weile und kostet auch etwas Geld.

Du kannst dir bei LE Zertifikaten selbst einen CA hinstellen. Ich gehe davon aus dass wf sich selbst vertraut.

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 16:56)

Domain-validated-Certs dagegen werden nur per DNS geprueft.

Genau genommen wird der DNS gegen die Domain geprüft. Während du den DNS vielleicht noch spoofen kannst, wird es schon schwieriger an die Domain zu kommen. Das hat auch nichts speziell was mit den LE Zertifikaten zu tun. Diese Arts Certs werden von allen Cert Anbietern vergeben, kosten da Geld und werden trotzdem nicht als unsicher angesehen. Bei LE ist es nur kostenlos weil das automatisiert ohne zutun von Menschen erfolgen kann.

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 16:56)

Hier kann z.B. mittels DNS Poisoning nachgeholfen werden, dass ploetzlich ein anderer Server da steht.

Türlich, lernt man in der Schule wie das gemacht wird. Wir stellen uns alle DNS Server hin und versuchen mit gefälschten Antworten den WF Server zu verwirren. Warum müsst ihr solche speziellen Angriffe die nur eine handvoll Leute beherrschen so hinstellen als könnte sie jeder? Panikmache.

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 16:56)

Mit Vertipperdomains genau das gleiche

Das ist hier irrelevant, da es für alle Webseiten gilt.

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 16:56)

Er hat Recht behalten, inzwischen gab es Unmengen derartiger Versuche, Logindaten von namhaften Webseiten abzufischen

Diese Art von Angriffen gibt es auf alle möglichen Server. Kein Argument gegen LE.

Wieder nichts.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#29 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 04. August 2018 - 17:43

Beitrag anzeigenZitat (Gispelmob: 04. August 2018 - 17:37)

Du kannst dir bei LE Zertifikaten selbst einen CA hinstellen. Ich gehe davon aus dass wf sich selbst vertraut.

Und was bringt das? Wenn eine nicht-vertrauenswuerdige CA einem die Moeglichkeit gibt, seine eigene CA zu signieren, wird das Vertrauen nicht mehr, sondern eher weniger.



Zitat

Das ist hier irrelevant, da es für alle Webseiten gilt.


Diese Art von Angriffen gibt es auf alle möglichen Server. Kein Argument gegen LE.

Ja, diese Art von Angriffen sind ein alter Hut. LE vereinfacht es nur gewaltig, das Vertrauen zu missbrauchen.

Daher doch ein Argument gegen LE.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#30 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 20:39

Beitrag anzeigenZitat (Sturmovik: 04. August 2018 - 17:43)

Und was bringt das? Wenn eine nicht-vertrauenswuerdige CA einem die Moeglichkeit gibt, seine eigene CA zu signieren, wird das Vertrauen nicht mehr, sondern eher weniger.

Du würdest also wf nicht vertrauen wenn sie ihre selbst erstellten Zertifikate mit einer eigenen CA signieren, aber vertraust ihnen wenn sie gar kein https nutzen? Logik?

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. August 2018 - 20:39

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

Thema verteilen:


  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0