SSL Verschlüsselung
Hi,
Wie stehen eigentlich die Chancen das Eisenbahnforum zukünftig eine SSL Verschlüsselung bekommt?
Mit letsencrypt bietet sich das zukünftig gerade zu an. Und ist auch innerhalb von wenigen Minuten für einen Admin erledigt habe das selbst gerade bei einer meiner Domains eingeführt.
https://letsencrypt.org/
Im Internet sollte man heute eigentlich generell keinerlei Datenverkehr mehr unverschlüsselt übertragen... Das einzige Problem was auf dieser Seite wohl auftreten würde wären mixed content Warnungen da die Banner der Partnerseiten direkt von diesen kommen und nicht auf dem Server liegen... das könnte man aber mehr als einfach umbiegen...
Wie stehen eigentlich die Chancen das Eisenbahnforum zukünftig eine SSL Verschlüsselung bekommt?
Mit letsencrypt bietet sich das zukünftig gerade zu an. Und ist auch innerhalb von wenigen Minuten für einen Admin erledigt habe das selbst gerade bei einer meiner Domains eingeführt.
https://letsencrypt.org/
Im Internet sollte man heute eigentlich generell keinerlei Datenverkehr mehr unverschlüsselt übertragen... Das einzige Problem was auf dieser Seite wohl auftreten würde wären mixed content Warnungen da die Banner der Partnerseiten direkt von diesen kommen und nicht auf dem Server liegen... das könnte man aber mehr als einfach umbiegen...
- Michi Greger
- Lebende Forenlegende
- Beiträge: 4089
- Registriert: 06 Sep 2002, 22:06
- Wohnort: mehrfach
Eher, damit
- kein Fake dieser Website zm Abgreifen von Usernames & Passworten gebaut wird - "warum gerade diese Mini-Website"? ... weil's mittlerweile Kits gibt, mit denen man sowas großflächig tun kann/könnte
- man dazu "moralisch" beiträgt, dass TLS Standard wird (und nicht unverschlüsseltes http).
Meine Eisenbahngeschichten - "Von Stellwerken und anderen Maschinen ..."
Die Organe der Bahnerhaltung sind ermächtigt, den Arbeitern zur Aneiferung angemessene Quantitäten von Brot, Wein oder Branntwein unentgeltlich zu verabfolgen. Nr. XXVII - Vorschriften für das Verhalten bei Schneefällen, K. k. Österreichische Staatsbahnen, Gültig vom 1. Oktober 1906; Artikel 14(5)
Die Organe der Bahnerhaltung sind ermächtigt, den Arbeitern zur Aneiferung angemessene Quantitäten von Brot, Wein oder Branntwein unentgeltlich zu verabfolgen. Nr. XXVII - Vorschriften für das Verhalten bei Schneefällen, K. k. Österreichische Staatsbahnen, Gültig vom 1. Oktober 1906; Artikel 14(5)
Passwörter, Private Nachrichte, selbst die Session ID hier ...Damit das, was die Benutzer hier in ein öffentlich zugängliches und öffentlich lesbares Forum schreiben, auch garantiert sicher vor Blicken Dritter übertragen wird?!? rolleyes.gif
(Ja, ich lese auch c't.)
Dann wäre das gelesen verstehen zu können noch klasse , das die c't das gerade drinnen hat ist eher Zufall... das Projekt verfolge ich schon länger... und es macht durchaus sinn...
Selbst Signiert Zertifikate sind Schwachsinn im Internet... da kann man es gleich lassen... es gab mit StartSSL schon früher kostenlose Zertifikate die aber ein etwas dubiose Herkunft hatten... mit Let's Encrypt sind aber einfach größen wie Mozilla, Cisco und Co dabei....Außerdem hat man dann die Wahl, gegen Geld ein Zertifikat zu kaufen, oder bei jedem Seitenaufruf eine Browserwarnung bzgl. des selbsterstellten Zertifikats zu bekommen.
Außerdem mag einen auch Google Lieber wenn man seine Seite verschlüsselt mit HTTPS anbietet
HTTPS hat bis auf etwas erhöhten Rechenaufwand keine Nachteile... unverschlüsselter Datentransfer gehört heute einfach nicht mehr ins Internet sobald auch nur der hauch von Individuellen Daten da ist...
- Boris Merath
- *Lebende Forenlegende*
- Beiträge: 16123
- Registriert: 18 Nov 2002, 23:57
- Wohnort: München
Generell sind die Chancen gut, bisher gibt es nur deswegen keine Verschlüsselung, weil der Aufwand (speziell der finanzielle) zu groß war.
Bei Letsencrypt ist mir allerdings noch nicht ganz klar, wie die Sicherheit des Erstellens der Zertifikate gewährleistet wird. Dass ich berechtigt bin ein Zertifikat zu führen wird scheinbar so geprüft, dass ich einen bestimmten Text auf die Internetseite legen soll.
Nur - wie wird hier ein men in the middle-Angriff verhindert? Gut, auf die Art anzugreifen ist natürlich aufwendiger als einfach nur so mitzuhören, speziell für Geheimdienste sollte das aber kein Problem darstellen. Wie will letsencrypt das denn verhindern?
Außerdem muss ich meinen Schlüssel, der mich als Domaininhaber ausweist, scheinbar auf dem Webserver hinterlegen, damit automatisiert die Zertifikate erneuert werden können - das finde ich grade auch nicht so optimal ehrlich gesagt.
Generell bin ich aber ein Fan davon möglichst alles zu verschlüsseln - nur ganz ehrlich - mein Vertrauen in SSL ist äußerst gering, asymmetrische Kryptographie hat leider ein ungelöstes Problem, nämlich die Verhinderung von men in the middle. Das heutige Zertifizierungssystem ist besser als nichts, aber trotzdem sehr anfällig.
Bei Letsencrypt ist mir allerdings noch nicht ganz klar, wie die Sicherheit des Erstellens der Zertifikate gewährleistet wird. Dass ich berechtigt bin ein Zertifikat zu führen wird scheinbar so geprüft, dass ich einen bestimmten Text auf die Internetseite legen soll.
Nur - wie wird hier ein men in the middle-Angriff verhindert? Gut, auf die Art anzugreifen ist natürlich aufwendiger als einfach nur so mitzuhören, speziell für Geheimdienste sollte das aber kein Problem darstellen. Wie will letsencrypt das denn verhindern?
Außerdem muss ich meinen Schlüssel, der mich als Domaininhaber ausweist, scheinbar auf dem Webserver hinterlegen, damit automatisiert die Zertifikate erneuert werden können - das finde ich grade auch nicht so optimal ehrlich gesagt.
Generell bin ich aber ein Fan davon möglichst alles zu verschlüsseln - nur ganz ehrlich - mein Vertrauen in SSL ist äußerst gering, asymmetrische Kryptographie hat leider ein ungelöstes Problem, nämlich die Verhinderung von men in the middle. Das heutige Zertifizierungssystem ist besser als nichts, aber trotzdem sehr anfällig.
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.
Fahrdienstvorschrift bayerische Staatsbahnen 1876
Fahrdienstvorschrift bayerische Staatsbahnen 1876
Na ja du erwartest etwas dir falschen Dinge . Die Verschlüsselung dient erst mal der Sicherung und Identifizierung der Webseite auf der Verbindungsebene. Wenn die domain bzw. der webspace generell kompromittiert ist ist die Verschlüsselung zwischen client und Server auch schon wurscht ...
Die Authentifizierung wird über Texte auf der Webseite erledigt ja das ist leider die einzig kosentefektiv Methode um sicherzustellen das du auch die Kontrolle über die Webseite hast. Und auch hier gilt wieder das sicherzustellen ist nicht die Aufgabe einer Transport verschlüsselung.
Man in the middel wird ja dadurch verhindert das die Verschlüsselung zwischen user und Server nicht aufzubrechen ist ohne das der user es mitbekommt.
Na ja das der Schlüssel auf dem Server liegt um neue Zertifikat zu erstellen ist suboptimal aber auch hier wieder wenn der Angreifer die Kontrolle hat braucht man auch keine ssl Verschlüsselung mehr .
Was mir bei der Sache am wichtigsten ist und was auch der normale Anwendungsfall für Verschlüsselung ist ist das Passwörter usw nicht beispielsweise in offenen wlans abgefangen werden. Vor der CIA oder so hab ich jetzt weniger Angst
Von daher würde es mich schon freuen wenn auch hier verschlüsselt wird .
Die Authentifizierung wird über Texte auf der Webseite erledigt ja das ist leider die einzig kosentefektiv Methode um sicherzustellen das du auch die Kontrolle über die Webseite hast. Und auch hier gilt wieder das sicherzustellen ist nicht die Aufgabe einer Transport verschlüsselung.
Man in the middel wird ja dadurch verhindert das die Verschlüsselung zwischen user und Server nicht aufzubrechen ist ohne das der user es mitbekommt.
Na ja das der Schlüssel auf dem Server liegt um neue Zertifikat zu erstellen ist suboptimal aber auch hier wieder wenn der Angreifer die Kontrolle hat braucht man auch keine ssl Verschlüsselung mehr .
Was mir bei der Sache am wichtigsten ist und was auch der normale Anwendungsfall für Verschlüsselung ist ist das Passwörter usw nicht beispielsweise in offenen wlans abgefangen werden. Vor der CIA oder so hab ich jetzt weniger Angst
Von daher würde es mich schon freuen wenn auch hier verschlüsselt wird .
- Boris Merath
- *Lebende Forenlegende*
- Beiträge: 16123
- Registriert: 18 Nov 2002, 23:57
- Wohnort: München
Die Frage ist nur was der Angreifer mit dem Schlüssel, der einen gegenüber "letsencrypt" ausweist, anstellen kann. Das kann durchaus relevant sein, wenn es darum geht abhanden gekommene private Schlüssel zu sperren. Wenn der Angreifer vorher in der Lage war, weitere Zertifikate zu generieren, die dann vielleicht nicht gesperrt werden können, ist das durchaus revelant. Aber um da genaueres zu sagen muss ich mir das ganze System noch näher ansehen.Rev @ 23 Nov 2015, 00:03 hat geschrieben: Na ja du erwartest etwas dir falschen Dinge . Die Verschlüsselung dient erst mal der Sicherung und Identifizierung der Webseite auf der Verbindungsebene. Wenn die domain bzw. der webspace generell kompromittiert ist ist die Verschlüsselung zwischen client und Server auch schon wurscht ...
Nachzuweisen, dass ich die Kontrolle über die Webseite habe, ist ja prinzipiell eine gute Lösung. Das einzige Problem ist nur - woher weiß die CA, in dem Fall also letscrypt, dass sie die richtige Webseite abgerufen haben? Genau um das zu gewährleisten, sind ja die Zertifikate da. Nur dass zu dem Zeitpunkt halt noch kein Zertifikat existiert....Die Authentifizierung wird über Texte auf der Webseite erledigt ja das ist leider die einzig kosentefektiv Methode um sicherzustellen das du auch die Kontrolle über die Webseite hast. Und auch hier gilt wieder das sicherzustellen ist nicht die Aufgabe einer Transport verschlüsselung.
Man in the middle zwischen user und server ist - sofern das Zertifikat sicher eingerichtet wurde - verhindert. Nur: Wie wird Man in the middle zwischen letscrypt und Server verhindert? Der Punkt ist extrem gefährlich. Wir können davon ausgehen, dass letscrypt ein Angriffsziel für Geheimdienste darstellt. Wenn jetzt z.B. ein Geheimdienst sich in die Kommunikation zwischen letscrypt und Server einhängt, kann der Geheimdienst ein Zertifikat für die Domain signieren lassen. Und mit diesem Zertifikat dann Man in the middle zwischen Server und user machen.Man in the middel wird ja dadurch verhindert das die Verschlüsselung zwischen user und Server nicht aufzubrechen ist ohne das der user es mitbekommt.
Vielleicht gibt es ja eine Lösung für das Problem? Gefunden habe ich dazu bisher noch nichts. Sollte das Problem nicht gelöst sein, erzeugt letscrypt eine trügerische Sicherheit.
Ich hätte gerne eine Verschlüsselung die vor allem schützt.Was mir bei der Sache am wichtigsten ist und was auch der normale Anwendungsfall für Verschlüsselung ist ist das Passwörter usw nicht beispielsweise in offenen wlans abgefangen werden. Vor der CIA oder so hab ich jetzt weniger Angst
Natürlich gilt im Zweifel "besser als nichts", nur finde ich es auch nicht gut, wenn dann im Browser "https" steht, die Verbindung aber potentiell unsicher ist, weil das Zertifikat auf keinem sicheren Weg zustandegekommen ist.
Und nein, ich erwarte mir nicht falsche Dinge, habe mich aber mal (u.a. im Rahmen des Studiums) mit Verschlüsselung, cryptographischen Protokollen und verschiedenen Angriffszenarien auseinandergesetzt, und weiß daher sehr genau, dass an ssl viel mehr hängt als einfach nur "Verschlüsselung einschalten". Und für echte Sicherheit muss hier einiges gewährleistet sein, was man nicht mal eben in 5 Minuten macht.
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.
Fahrdienstvorschrift bayerische Staatsbahnen 1876
Fahrdienstvorschrift bayerische Staatsbahnen 1876
Genau das war jetzt auch mein erster Gedanke, als ich das gelesen hab...Boris Merath @ 23 Nov 2015, 00:17 hat geschrieben: Nur: Wie wird Man in the middle zwischen letscrypt und Server verhindert? Der Punkt ist extrem gefährlich. Wir können davon ausgehen, dass letscrypt ein Angriffsziel für Geheimdienste darstellt. Wenn jetzt z.B. ein Geheimdienst sich in die Kommunikation zwischen letscrypt und Server einhängt, kann der Geheimdienst ein Zertifikat für die Domain signieren lassen. Und mit diesem Zertifikat dann Man in the middle zwischen Server und user machen.
Na ja der client baut ja eine gesicherte Verbindung zum lets enccrypt Server auf also kann zumindest sicher gestellt werden das die Identität des lets enccrypt Server passt und hier niemand man in the middel spielt. Andersherum wird sichergestellt das der client der ist für den er sich ausgibt durch die DNS Einträge die in meiner Erinnerung gegen mehrere stellen geprüft werden und durch den Text auf der Webseite
- Boris Merath
- *Lebende Forenlegende*
- Beiträge: 16123
- Registriert: 18 Nov 2002, 23:57
- Wohnort: München
Ja, davon kann man ausgehen, das hilft aber nichts. Weil wenn der Man in the middle ein Zertifikat signieren will, dann ist der Man in the middle Client und nicht Server. Der eigene Webserver ist an dem Angriff gar nicht beteiligt.Rev @ 23 Nov 2015, 02:10 hat geschrieben: Na ja der client baut ja eine gesicherte Verbindung zum lets enccrypt Server auf also kann zumindest sicher gestellt werden das die Identität des lets enccrypt Server passt und hier niemand man in the middel spielt
Grundsätzlich ist das übrigens ein Angriffszenario, das bei vielen Zertifizierern geht, dementsprechend ist HTTPS keineswegs ein Garant für eine sichere Verbindung. Moderne Browser unterscheiden bei der Anzeige ja auch zwischen den verschiedenen Zertifikatstypen bzw. wie sicher das Zertifikat ist. Aber welcher Nutzer kennt schon den Unterschied zwischen den verschiedenen Hintergrundfarben des "https"-Schriftzugs im Browser?
Gegen das Skriptkiddie im selben WLAN hilft so ein einfaches Zertifikat natürlich schon (weswegen ich es beim EF dann auch einbauen werde), aber viel weiter?
Wenn jemand eine Lösung für dieses Problem findet (auch die "sicheren" Zertifikate sind nur so sicher wie alle Zertifizierungsfirmen zusammen vertrauenswürdig sind, also gar nicht* ), dürfte den Nobelpreis für Informatik sicher haben. Ach, den Nobelpreis für Informatik gibts gar nicht? Doof.
*: Es reicht aus, wenn eine nicht vertrauenswürdige Zertifizierungsfirma ein Zertifikat für eine Webseite an den Angreifer ausgibt. Sobald das der Fall ist, ist ein Man in the middle-Angriff möglich, ohne dass der Browser es merkt. Es gab bereits in der Vergangenheit entsprechende Vorfälle, dass von Zertifizierern Zertifikate an Geheimdienste ausgegeben wurden.
-> SSL ist eine extrem wackelige Angelegenheit... Gibt nur blöderweise nichts anderes.
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.
Fahrdienstvorschrift bayerische Staatsbahnen 1876
Fahrdienstvorschrift bayerische Staatsbahnen 1876