Mozilla will HTTP ausrangieren - Seite 2

Seite 2 von 2 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/mozilla-will-http-ausrangieren_242829/page_2 - zur Vollversion wechseln!

Luka schrieb am 04.05.2015 um 20:30

Zitat von Smut
bin dagegen, da dadurch nur noch viel mehr insecure CAs aus dem boden gestampft werden ohne einen mehrwert an sicherheit zu bieten.

Es gibt zwar noch immer zu viele Zertifizierungsstellen und sie gehören strenger reguliert, aber ich glaube, es war noch nie so schwierig eine Zertifizierungsstelle "aus dem Boden zu stampfen" wie heute.

Zitat

es wird sogar noch unsicherer weil diese insecure CAs, dann aufgrund schlechter prüfungen ein zertifikat für von mir aus google.com ausstellen können. diese probleme muss man zuerst adressieren. hier wird durch die finanzierung von CAs blödsinnig geld verbraten.

Es wurden bereits Gegenmaßnahmen ergriffen: z.B. Public Key Pinning Extension for HTTP und Certificate Transparency

Zitat
bist du dir sicher dass crl abgelöst ist?
ich habe eher die befürchtung dass certificate revoking nicht ordentlich funktioniert, da es viele clients aus performance gründen nicht überprüfen, als dass OCSP CRLs tatsächlich ablösen wird.

Die Mängel von CRL sind schon lange bekannt, deshalb hat man OCSP Stapling entworfen. Es wird bereits von den großen Browsern unterstützt, leider sind die meisten Serverbetreiber nicht so schnell.

Der Webserver von oc.at unterstützt übrigens OCSP stapling

Obermotz schrieb am 04.05.2015 um 22:34

Der d-h key exchange sollte sich endlich mal durchsetzen, damit das alles wirklich Sinn macht.

Luka schrieb am 05.05.2015 um 09:32

Zitat von Smut
das henne ei problem ist ja künstlich geschaffen, da man eine public information, die auch aus privacy sicht nicht abstreitbar ist, plötzlich ausschließlich über SSL verschicken will.

HTTPS ist auch für öffentliche Information sinnvoll. Mit HTTPS wird sichergestellt, dass auch wirklich das ankommt, was der Server dir schicken wollte. Sonst könnte ein Angreifer im Netzwerk den Datenverkehr manipulieren. HTTPS ist speziell in offenen WLANs wichtig und schützt auch vor ISPs, die dir Werbung unterschieben wollen usw.

COLOSSUS schrieb am 05.05.2015 um 09:46

HTTPS einfach blind "fuer alles" zu fordern ist trotzdem idiotisch. Wenn ich bswp. ein Paket von meinem apt-Mirror ziehe, brauche ich das nicht in Transit verschluesselt und die Gegenstelle auch nicht authentifiziert - die Integritaet und Authentizitaet der Payload wird ja ohnehin durch die GPG-Signatur des Pakets gewaehrleistet.

Und bevor das CA-System nicht repariert ist (wobei ich bezweifle, dass das ueberhaupt moeglich ist), ist diese ganze Sache mit der Vertrauenswuerdigkeit der Identitaetsinformation bestenfalls unsicher; schlimmstenfalls brandgefaehrlich.

Luka schrieb am 05.05.2015 um 10:04

Der öffentliche Schlüssel mit dem die Signatur des Pakets überprüft wird, war im ISO-Image von Debian enthalten. Das ISO-Image kann man meistens nur über HTTP herunterladen, aber immerhin ist es ebenfalls signiert. Nur wie überprüft man die Signatur? Wie geht man sicher, dass man den richtigen öffentlichen Schlüssel von Debian heruntergeladen hat?

Wenn man den Schlüssel über HTTPS herunterlädt, hängt die Sicherheit von GPG erst recht vom kaputten Zertifikatsystem ab.

Ich denke auch, die wiederholten Sicherheitslücken in APT zeigen, dass HTTPS trotz Signatur sinnvoll wäre.

Smut schrieb am 05.05.2015 um 10:39

einen vorteil hätte es schon:
deaktivieren von SSL bzw. downgrading, das derzeit wirklich ein leichtes ist als Mitm, wird dadurch erschwert.

COLOSSUS schrieb am 05.05.2015 um 13:49

Zitat von luka
Der öffentliche Schlüssel mit dem die Signatur des Pakets überprüft wird, war im ISO-Image von Debian enthalten. Das ISO-Image kann man meistens nur über HTTP herunterladen, aber immerhin ist es ebenfalls signiert. Nur wie überprüft man die Signatur? Wie geht man sicher, dass man den richtigen öffentlichen Schlüssel von Debian heruntergeladen hat?

Wenn man den Schlüssel über HTTPS herunterlädt, hängt die Sicherheit von GPG erst recht vom kaputten Zertifikatsystem ab.

Ich denke auch, die wiederholten Sicherheitslücken in APT zeigen, dass HTTPS trotz Signatur sinnvoll wäre.

Das fuehrt doch aber so zu nichts. Wie sind die als "vertrauenswuerdig" eingestuften CA-Zertifikate in den Trust Store deines TLS-Stacks gekommen? Woher kommt der ueberhaupt?

Irgendwo, irgendwann, hast du immer einen finalen Trust Anchor, den du nicht ueber ein rein technisches, interaktionsloses Verfahren wirst pruefen koennen.

Und die TLS-Implementierung, die bislang fehlerfrei war, werfe den ersten Stein...

Ich habe ja nichts dagegen, https _optional_ anzubieten. (Es gibt im Falle von apt ja auch apt-transport-https zu diesem Zweck.) Aber mandatorisch; fuer _ALLES_? Bloede Idee, Punkt.

Luka schrieb am 06.05.2015 um 16:03

Dennoch ist es alles andere als einfach, ein Zertifikat zu fälschen. HTTP bietet überhaupt keinen Schutz.

Zitat
Q. Why are you bothering with pushing HTTPS, given that the CA system is so broken?

For all its flaws, the CA system we have is one that underpins the entire online economy we have today. It’s broken in ways, but for the most part, it works.

We are always trying to improve the quality of the Mozilla CA Program, from kicking out misbehaving CAs to strengthening disclosure requirements. And we’re interested in better technologies (such as DANE and CT) for improving authentication in the long run. Even as these improvement efforts continue, the PKI as it exists today is strong enough to move forward with promoting HTTPS.

Quelle: Mozilla HTTPS-FAQ

Luka schrieb am 09.02.2016 um 12:00

Firefox Developer Edition 46 warnt, wenn Zugangsdaten unverschlüsselt verschickt werden:

No More Passwords over HTTP, Please! | Tanvi's Blog

Security Engineer – @TanviHacks

Link: blog.mozilla.org

Ich denke, es ist richtig, zuerst die Entwickler über das Problem zu informieren. Aber ich befürchte, viele Webentwickler reagieren erst, wenn die Browser sie dazu zwingen.

COLOSSUS schrieb am 09.02.2016 um 12:41

Das haette ich mir schon VIEL laenger gewuenscht, und ist eine der wenigen unzweifelhaft sinnvollen UX-Verbesserungen, die man hinsichtlich HTTPS einfuehren kann. Stellt sich nur die Frage: Warum nicht frueher?

Nico schrieb am 09.02.2016 um 13:41

ich hätte gern dass alles router hersteller ihr web-admin-interface auf https-only umstellen, ist leider aucht nicht standard. ansich ja kein problem afaik.

COLOSSUS schrieb am 09.02.2016 um 14:46

Zumindest mir CA-signiertem Zertifikat kannst du das vergessen.