Warum immer noch kein HTTPS?
#31
geschrieben 04. August 2018 - 21:41
Ich sage nur, dass https mit einem wertlosen Zertifikat keine Vertrauensbasis darstellt.
Wenn da nur http genutzt wird, ist das wenigstens ehrlich.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
Anzeige
#32
geschrieben 04. August 2018 - 21:59
... ... *mind blown*
Gut zu wissen, daß die bei mir auf Untrusted stehen und dank SSL-Proxy auf Case-by-Case Basis freigeschaltet werden müssen.
Ich mein, Wildcards bieten die ja auch an. Viel kaputter geht es ja dann kaum noch.
#33
geschrieben 05. August 2018 - 06:03
Zitat (RalphS: 04. August 2018 - 21:59)
Du wirst echt immer ulkiger mit deinen Aussagen. Mittlerweile geh ich davon aus, dass du nur trollen willst.
#34
geschrieben 05. August 2018 - 07:15
#35
geschrieben 05. August 2018 - 07:25
#36
geschrieben 05. August 2018 - 08:40
Will ich hingegen ein Bezahlzertifikat, muss ich zumindest eine korrekte Bankverbindung abgeben, was es Betrügern zumindest schon mal ein bisschen erschwert. Und will ich wirklich beweisen, dass ich der bin der ich bin, hole ich mir beispielsweise ein Zertifikat von Thawte, da die vor Kauf erst mal eine Schufaprüfung ausführen, ob ich wirklich der bin, der ich zu sein vorgebe, was es Betrügern weiter erschwert ihren zwielichtigen Geschäften nachzugehen. Denn selbst wenn ich da abgezogen werde, so kann doch zumindest der Staatsanwalt dann herausfinden, wer die Domain damals als verschlüsselt deklarierte. Ich finde also zur Not jemanden, den ich verhauen darf. Bei LE-Certs hab ich da keine Chance mehr.
Das ganze bedeutet immer noch nicht dass da eine 100%-Sicherheit gegeben ist, da stimme ich zu. Aber die gibt es nirgendwo im Leben, lediglich beim Tod gibt es die (noch). Aber alleine schon die Tatsache dass es Geld kostet hält viele ab es sich ein Bezahlzertifikat zu holen, nur um eine Betrugsmasche, die vielleicht noch nicht mal die Kosten, die das Zertifikat kostete, abzuziehen.
Mal abgesehen davon, dass die "Sponsoren" der LE-Certs so bekannte Firmen wie Akamai, Cisco, Facebook und Mozilla sind.
Cisco ist das Unternehmen, das sich dabei erwischen ließ vorsätzlich über das Internet zugreifbare Hintertüren in die Firmware der eigenen Netzwerkhardware einprogrammiert zu haben. Und Facebook? Den Datenskandal schon wieder vergessen? Ja, Zertifikate eines der größten Privatsphärenverachter, Internetüberwacher, Datensammler, Menschenvermarkter und Spammer braucht man unbedingt auf dem eigenen Server.
Bitte dann nicht hinterher rumheulen, wenn sich das als die größte Scheiße des Jahrzehnts herausstellt. Ein Gehirn wird durch Benutzung übrigens viel nützlicher.
Ja, wegen mir mag sowas bei einer Webseite wie hier, wo sowieso keine privaten Daten fließen nützlich sein. Hier wird nichts gekauft, es gehen keine sonst wie gearteten privaten Daten über den Tisch. Andererseits ist es bei einer Webseite wie hier eben auch einfach komplett unnötig - wie schon erwähnt, wer hier private Daten angibt ist selber schuld. Und wer Angst um sein Passwort hat sollte sich vielleicht einfach mal fragen, warum das so ist. Wer für jede Seite ein neues Passwort hat braucht diese Bedenken nämlich nicht zu haben. Dann ist es nämlich egal wenn das Passwort hier geklaut wird. Wenn es wirklich der Fall ist schreibt man eben einen Admin an, erklärt die Misere und lässt es zurücksetzen - Fall erledigt. Oder man legt sich eben ein neues Konto an - ist ja nicht so dass da irgendetwas verloren wäre, wenn der Account hier gehackt wird. In 2 Wochen liest den Roman hier beispielsweise sowieso keiner mehr
#37 _Osmodia_
geschrieben 05. August 2018 - 08:44
Domain-zertifizierte Zertifikate gibt es aber nicht nur von LE, die bietet so ziemlich jeder andere auch an. Und die meisten Zertifikate sind eben auch solche, weil die viel, viel günstiger sind. Inhaber-zertifizierte Zertifikate findet man hauptsächlich auf großen Seiten wie Facebook, Google (ok, die haben sich das selbst ausgestellt...) etc. Die meisten Zertifikate sind lediglich Domain-zertifiziert, egal ob die von LE oder einem anderen ausgestellt wurden. Insofern hat Gispelmob recht, es gibt hier kein einziges handfestes Faktum gegen LE, sondern nur gegen Domain-zertifizierte Zertifikate im Allgemeinen.
Dieser Beitrag wurde von Osmodia bearbeitet: 05. August 2018 - 09:51
#38
geschrieben 05. August 2018 - 10:12
Zitat (Kontra!: 05. August 2018 - 08:40)
Verstehst du überhaupt wie die eine Domain-validated Certification abläuft?
Es wird eine eMail an die Adresse geschrieben die im whois steht. Es wird eine eMail an die Adresse geschrieben die im Admin Kontakt auf der entsprechenden HP steht und noch 2 weitere Kritierien. Wenn alle 4 OK sind ist die Prüfung bestanden. Was nützt es also als Anon ein Zertifikat zu beantragen, wenn man gar nicht an die eMails rankommt um diese zu beantworten?
Zitat (Kontra!: 05. August 2018 - 08:40)
Eine korrekte Bankverbindung kann jeder haben. Sowas ist auch relativ leicht zu bekommen. Wieder nichts.
Zitat (Kontra!: 05. August 2018 - 08:40)
Die Schufa Prüfung wird durchgeführt zu prüfen ob du überhaupt in der Lage bist zu bezahlen. Für nichts anderes.
Zitat (Kontra!: 05. August 2018 - 08:40)
Der Staatsanwalt interessiert sich nur dafür wenn es sich um ein Verbrechen gegen den Staat handelt oder wenn öffentliches Interesse besteht. Ansonsten sind es Richter.
Gehen wir zurück zum Punkt 1. Im whois steht auch eine Kontaktadresse die jeder angeben muss wenn er eine Domain anmeldet (und bevor du jetzt wieder mit irgendetwas kommst, die Adresse wird vom Domainregistrar geprüft in dem er mit der Adresse schriftlichen Kontakt hat und natürlich will der Domainregistrar auch eine gültige Bankverbindung sehen) An diese gültige Kontaktadresse kann man sich im Falle von LE Zertifikaten wenden und zur Not auch über die Kontaktdaten der Bankverbindung. Schön ausgedacht, aber leider falsch.
Zitat (Osmodia: 05. August 2018 - 08:44)
Sagen wir mal so. Die vorherrschende Meinung ist: Es steht LE dran und das muss per Definition schlecht sein. Das andere die gleichen Zertifikate anbieten, dafür aber Geld verlangen wird schlicht ignoriert.
#39
geschrieben 05. August 2018 - 10:27
Vielleicht nochmal von den Grundlagen her in wenigen, kurzen Worten.
- Sicherheit und Bequemlichkeit schließen sich aus. Automatismen dienen insbesondere der Bequemlichkeit, werden also immer Abstriche bei der Sicherheit machen müssen.
- Sicherheit ist eine Funktion der Zeit: die Frage kann und darf nicht lauten 'ist mein Schloß unknackbar?' sondern darf bestenfalls als 'wie lange wird mein Schloß widerstehen können?' verstanden werden.
- Demgegenüber steht aber Vertrauen, implizit wie auch explizit: Je länger ich eine ganz konkrete Sache kenne, desto eher vertraue ich ihr ("neumodischer Kram, einself"). Das gilt aber auch für Zertifikate: wenn ich jeden Tag einen neuen Zertifikat vertrauen soll, wird es irgendwann passieren, daß mir ein falsches Zertifikat untergeschoben werden wird, dem ich routinemäßig (statt geprüft) vertraue.
- Zertifikate müssen daher einen gangbaren Weg finden zwischen "wie lang hält das zuverlässig' in einem kryptographischen Kontext (bis es gefälscht werden kann) und 'inwieweit kann ich einem spezifischen Zertifikat vertrauen'.
Daß das heutzutage Browsserhersteller machen, geschenkt, Microsoft und Google und Apple wissen sowieso besser als wir, wie es richtig geht (Selber denken ist sooooooo altmodisch).
Es muß aber dennoch klar sein. Jedes Authentifizierungssystem lebt von der Prüfung. Wäre das anders, könnten wir beim Bürgeramt vorbeischauen und einen Perso aus der Grabbelkiste nehmen, Euro bezahlen für Materialkosten und wieder raus da.
Wenn wir DV wörtlich nehmen - Domain von lat. Haus, also da wo ich wohne, dann bräuchten wir für Persos auch nur hingehen, sagen wie wir heißen, die Dame schaut dann unter dem angegebenen Namen nach ("ah da isser ja") und händigt uns DANN den Perso sofort aus. Obolus vielleicht zwei Euro, weil sie mußte ja noch Excel starten, Crtl-F drücken und ein paar Buchstaben eingeben.
Da frag ich mich doch, warum die in den deutschen Kommunen das nicht schon vor Jahrzehnten begriffen haben, daß sie sich viel zu viel Aufwand machen.
Dieser Beitrag wurde von RalphS bearbeitet: 05. August 2018 - 10:28
#40
geschrieben 05. August 2018 - 10:37
Zitat (RalphS: 05. August 2018 - 10:27)
Das Thema hatten wir schon. Du bist der Doktorallwissend, der uns kleinen Wichten mal so richtig die Meinung sagt. Natürlich willst du uns nicht mit fachlichen Details und Beweisen langweilen, sondern übst dich lieber in allgemeinen Behauptungen die du natürlich in keiner Weise begründen musst.
Dieser Beitrag wurde von Gispelmob bearbeitet: 05. August 2018 - 10:39
#41
geschrieben 05. August 2018 - 10:46
Zitat (Gispelmob: 05. August 2018 - 10:12)
Passiert bei DV, aber nicht bei LE. Ich habe zumindest noch keine Mail von denen bekommen. (ja, ich oute mich hier, dass ich trotz der Kritik am System Zertifikate von denen benutze.)
N.B. seit endgueltigem Inkrafttreten der DGSVO ist auch dieser Punkt fraglich, denn zumindest DENIC gibt derartige Daten nicht mehr an jeden heraus. Interessanterweise steht in der Liste, wer unter welchen Bedingungen die whois-Daten einsehen darf, nichts von Zertifikatsausstellung und dergleichen. Link
Allerdings habe ich schon laenger kein DV-Zertifikat mehr erworben, daher kann ich hier nur spekulieren.
EDIT: grad mal nachgeschaut... der echte technische Kontakt ist zwar nicht mehr oeffentlich, aber mittlerweile wenigstens wieder eine Mailadresse fuer abuse und generelle Anfragen.
Zitat
Falsch. Es wird eine Mail an den Adminkontakt geschrieben, der im Certificate Signing Request steht.
Ein Adminkontakt auf der Homepage ist nicht notwendig (ausserhalb des Geltungsbereichs deutscher Gesetzgebung muss es auch keine Kontaktangaben/Impressum auf Websites geben), es ist noch nichtmal eine funktionierende Homepage notwendig.
Zitat
Mit etwas Aufwand geht das schon. Aber du kommst dann gleich wieder mit "Lernt man ja in der Schule" usw.
Zitat
Die Identitaetspruefung bei DV-Zertifikaten fuer Geld ist schon nicht gut, dieses bestehende Verfahren wird durch den Automatismus von LE noch weiter aufgeweicht.
Dass die anderen CA's dafuer i.d.R. Geld verlangen, stellt meines Erachtens neben der laengeren Zeitdauer und der geringfuegigen Identitaetspruefung noch eine weitere Huerde fuer Missbrauch dar.
Dieser Beitrag wurde von Sturmovik bearbeitet: 05. August 2018 - 10:51
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#42 _Osmodia_
geschrieben 05. August 2018 - 11:20
Zitat (Sturmovik: 05. August 2018 - 10:46)
Es gibt bei DV-Zertifikaten keine Identitätsprüfung! Es wird nur geprüft, ob derjenige die Verfügungsgewalt über die Domain hat. Normal läuft das über E-Mail, bei LE über einen Token. Dass du bei kostenpflichtigen DV-Zertifikaten Bank-Daten o.ä. angeben musst, ist irrelevant, da kein Abgleich mit den Domain-Daten stattfindet. Zum einen, weil das bei DV-Zertifikaten nun mal eben nicht Teil des Prozesses ist, zum anderen, weil das auch gar nicht geht. Man stelle sich eine Firma vor, die für Kunden Domains registriert. Inhaber ist der Kunde, für Domain und Zertifikat zahlen tut aber die Firma.
Dieser Beitrag wurde von Osmodia bearbeitet: 05. August 2018 - 11:21
#43
geschrieben 05. August 2018 - 11:26
Zitat (Osmodia: 05. August 2018 - 11:20)
Eben das meinte ich mit der Identitaetspruefung. Entschuldige die ungenaue Ausdrucksweise, aber es ist letzlich doch eine Pruefung, ob Zertifikatsbeantrager und Domaininhaber uebereinstimmen. Also im weitesten Sinne doch eine Identitaetspruefung.
Zitat
Zitat
Ich habe bis vor kurzem bei einer derartigen Firma gearbeitet
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#44
geschrieben 05. August 2018 - 11:29
Zitat (Sturmovik: 05. August 2018 - 10:46)
Nö.
Antwort auf E-Mails an einen bekannten administrativen Ansprechpartner in der Domain, z.B. (admin@, postmaster@, etc.)
Wenn an den Kontakt im Request geschrieben wird, ist das falsch implementiert. Es müsste an den Kontakt der Domain gehen.
Um das mal zusammenzufassen. LE automatisiert das was andere CAs mit dem Einsatz von Menschen machen. Die nutzen allerdings auch Tools dafür und suchen nicht per Hand in Stapeln Papier. Nur wenn man viel Geld in die Zertifikate investiert, gibt es eine erweiterte Prüfung. Ansonsten bekommt man die gleiche Standardkost wie bei LE, nur eben mit dem Einsatz von Menschen erzeugt und nicht automatisch.
Wenn man jetzt meint die günstigen und kostenlosen Zertifikate wären nichts wert, dann übersieht man vollkommen die Tatsache dass auch die günstigen Zertifikate eine ausreichende Transportverschlüsselung den Inhalts ermöglichen. Nicht mehr und nicht weniger. Das die Webseiten/Browser dann unter Umständen noch PKP und andere Techniken integrieren müssen, das hat nichts mit dem Zertifikat zu tun.
Dieser Beitrag wurde von Gispelmob bearbeitet: 05. August 2018 - 11:37
#45
geschrieben 05. August 2018 - 11:41
Zitat (Gispelmob: 05. August 2018 - 10:12)
Zitat (Gispelmob: 05. August 2018 - 11:29)
Antwort auf E-Mails an einen bekannten administrativen Ansprechpartner in der Domain, z.B. (admin@, postmaster@, etc.)
Hat nichts mit einer Homepage zu tun. Das sind Standard-Empfaenger einer Domain.
Zitat
Und nebenbei wird auf einen Teil der Pruefungen, die bei DV erfolgen, verzichtet.
Zitat
Nichts anderes schrieb ich gestern. Die Transportverschluesselung nuetzt allerdings nichts, wenn die Daten beim falschen landen.
Dieser Beitrag wurde von Sturmovik bearbeitet: 05. August 2018 - 11:42
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage