URL: https://www.overclockers.at/internet-provider/mozilla-will-http-ausrangieren_242829/page_2 - zur Vollversion wechseln!
Zitat von Smutbin dagegen, da dadurch nur noch viel mehr insecure CAs aus dem boden gestampft werden ohne einen mehrwert an sicherheit zu bieten.
Zitat
es wird sogar noch unsicherer weil diese insecure CAs, dann aufgrund schlechter prüfungen ein zertifikat für von mir aus google.com ausstellen können. diese probleme muss man zuerst adressieren. hier wird durch die finanzierung von CAs blödsinnig geld verbraten.
Zitatbist du dir sicher dass crl abgelöst ist?
ich habe eher die befürchtung dass certificate revoking nicht ordentlich funktioniert, da es viele clients aus performance gründen nicht überprüfen, als dass OCSP CRLs tatsächlich ablösen wird.
Der d-h key exchange sollte sich endlich mal durchsetzen, damit das alles wirklich Sinn macht.
Zitat von Smutdas henne ei problem ist ja künstlich geschaffen, da man eine public information, die auch aus privacy sicht nicht abstreitbar ist, plötzlich ausschließlich über SSL verschicken will.
HTTPS einfach blind "fuer alles" zu fordern ist trotzdem idiotisch. Wenn ich bswp. ein Paket von meinem apt-Mirror ziehe, brauche ich das nicht in Transit verschluesselt und die Gegenstelle auch nicht authentifiziert - die Integritaet und Authentizitaet der Payload wird ja ohnehin durch die GPG-Signatur des Pakets gewaehrleistet.
Und bevor das CA-System nicht repariert ist (wobei ich bezweifle, dass das ueberhaupt moeglich ist), ist diese ganze Sache mit der Vertrauenswuerdigkeit der Identitaetsinformation bestenfalls unsicher; schlimmstenfalls brandgefaehrlich.
Der öffentliche Schlüssel mit dem die Signatur des Pakets überprüft wird, war im ISO-Image von Debian enthalten. Das ISO-Image kann man meistens nur über HTTP herunterladen, aber immerhin ist es ebenfalls signiert. Nur wie überprüft man die Signatur? Wie geht man sicher, dass man den richtigen öffentlichen Schlüssel von Debian heruntergeladen hat?
Wenn man den Schlüssel über HTTPS herunterlädt, hängt die Sicherheit von GPG erst recht vom kaputten Zertifikatsystem ab.
Ich denke auch, die wiederholten Sicherheitslücken in APT zeigen, dass HTTPS trotz Signatur sinnvoll wäre.
einen vorteil hätte es schon:
deaktivieren von SSL bzw. downgrading, das derzeit wirklich ein leichtes ist als Mitm, wird dadurch erschwert.
Zitat von lukaDer öffentliche Schlüssel mit dem die Signatur des Pakets überprüft wird, war im ISO-Image von Debian enthalten. Das ISO-Image kann man meistens nur über HTTP herunterladen, aber immerhin ist es ebenfalls signiert. Nur wie überprüft man die Signatur? Wie geht man sicher, dass man den richtigen öffentlichen Schlüssel von Debian heruntergeladen hat?
Wenn man den Schlüssel über HTTPS herunterlädt, hängt die Sicherheit von GPG erst recht vom kaputten Zertifikatsystem ab.
Ich denke auch, die wiederholten Sicherheitslücken in APT zeigen, dass HTTPS trotz Signatur sinnvoll wäre.
Dennoch ist es alles andere als einfach, ein Zertifikat zu fälschen. HTTP bietet überhaupt keinen Schutz.
ZitatQ. Why are you bothering with pushing HTTPS, given that the CA system is so broken?
For all its flaws, the CA system we have is one that underpins the entire online economy we have today. It’s broken in ways, but for the most part, it works.
We are always trying to improve the quality of the Mozilla CA Program, from kicking out misbehaving CAs to strengthening disclosure requirements. And we’re interested in better technologies (such as DANE and CT) for improving authentication in the long run. Even as these improvement efforts continue, the PKI as it exists today is strong enough to move forward with promoting HTTPS.
Quelle: Mozilla HTTPS-FAQ
Firefox Developer Edition 46 warnt, wenn Zugangsdaten unverschlüsselt verschickt werden:
Das haette ich mir schon VIEL laenger gewuenscht, und ist eine der wenigen unzweifelhaft sinnvollen UX-Verbesserungen, die man hinsichtlich HTTPS einfuehren kann. Stellt sich nur die Frage: Warum nicht frueher?
ich hätte gern dass alles router hersteller ihr web-admin-interface auf https-only umstellen, ist leider aucht nicht standard. ansich ja kein problem afaik.
Zumindest mir CA-signiertem Zertifikat kannst du das vergessen.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024