Mozilla SSL Policy: Browser-Entwickler grenzt SSL-Nutzung ein

[gullinews]

Sicherheitstechnologien spielen in einer Zeit, in der Onlinebetrug an der Tagesordnung steht, eine wichtige Rolle. Ein beliebtes Mittel um abgesicherte Verbindungen herzustellen ist SSL (Secure Socket Layer). Alle gängigen Browser verstehen diese Methode der verschüsselten Datenübertragung. Die Mozilla Corporation beschränkt nun die Nutzung von SSL für den Firefox 3.

Seit der Veröffentlichung des Firefox 3 können nur noch zahlungswillige Webseitenbetreiber ihren Besuchern den vollen Genuss der SSL-Verschlüsselung anbieten. Falls ein Besucher eine Internetseite ansteuert, auf der ein selbst unterzeichnetes SSL-Zertifikat hinterlegt ist, kriegt der Anwender eine Warnmeldung anstelle des Seiteninhalts zu Gesicht. "Dem Sicherheitszertifikat ist nicht zu vertrauen. Es wurde vom Ersteller selbst unterzeichnet." Dies soll den Besucher warnen und vor möglichen Gefahren schützen.

weiterlesen

[Nat Sirt]

Die Mozilla Corporation beschränkt nun die Nutzung von SSL für den Firefox 3. Wer eine Webseite betreibt lässt sich entweder ein unbekanntes Zertifikat kostenpflichtig signieren, oder der Firefox weigert sich, eine gesicherte Verbindung herzustellen.

LOL, ich weiß ja nicht was besser ist, ein "unbekanntes" oder ein "selbsterstelltes" Zertifikat.

SSL Zertifikate bekommt man doch bei den meisten Hostern für seine Domain gratis mit dazu, muss man halt nur im Kundenlogin beantragen. Man muss ja also nicht die 'Tochter'firma von FF nutzen.

Aber da sollte Mozilla nochmal drüber nachdenken, ob sich nicht bessere Lösungen finden lassen.

[Fiech]

Zudem:

Irre ich mich oder ist es nicht immerhin schonmal ein Anfang, dass Daten verschlüsselt übertragen werden?

Natürlich besteht die Gefahr eines MiM-Angriffs, aber wieso sollte man den Guten Willen des Webadmins bestrafen, der einfach nur eine verschlüsselte Verbindung anbieten möchte.
Das geht mir nicht in den Kopf...


Ich nutze FF3 sehr gerne und ich mag die neuen Features, nur dieses eine ist mir ein wahrer Dorn im Auge, denn für eine neu besuchte Seite mit SSL-Verbindung immer die Ausnahme hinzufügen geht mir gehörig auf den Senkel :-(

[Sesmar]

Seit der Veröffentlichung des Firefox 3 können nur noch zahlungswillige Webseitenbetreiber ihren Besuchern den Genuss der SSL-Verschlüsselung anbieten.

Dies ist natürlich falsch. Man kann nach wie vor jedes Zertifikat freigeben, indem man eine Ausnahme hinzufügt. Das ist nur deutlich komplizierter geworden. Ich empfinde das auch als Unsinn, aber was ihr da schreibt, ist einfach faktisch nicht richtig. Bitte das nächste Mal etwas besser recherchieren, ehe ihr Leute zusätzlich verunsichert.

[Sesmar]

SSL Zertifikate bekommt man doch bei den meisten Hostern für seine Domain gratis mit dazu, muss man halt nur im Kundenlogin beantragen. Man muss ja also nicht die 'Tochter'firma von FF nutzen.

Wenn sie nix kosten, wird das auch nichts nützen, weil sie nicht von einer Zertifizierungsstelle kommen, der Firefox vertraut. Die CACert z. B. wird von Firefox noch nicht akzeptiert, und die, die akzeptiert werden, kosten um die 70 Euro im Jahr Minimum. Das legt dein Hoster natürlich auf dich um. Daher bezweifle ich, daß das mit Gratis-Zertifikaten vom Hoster klappt.

[DanteConstantin]

Wieder ein Grund mehr für mich öfters Opera zu benutzen...

€:
Oder Gleich Internet Explorer. Da spielt Sicherheit eh keine Rolle.

[Allemo]

Sollte der Besucher auf ein nicht signiertes oder vom Betreiber selbst unterzeichnetes Zertifikat stoßen, so kann er eine Ausnahme erstellen. Dann erfolgt die Verbindung allerdings unverschlüsselt und sensible Daten werden im Klartext übertragen.

Schwachsinn! Wenn man eine Ausnahme erstellt erfolgt die Verbindung natürlich verschlüsselt. Nur die Identität kann nicht sichergestellt werden, was bei einen selbst gebastelten Zertifikat ja auch logisch ist...

Das Problem ist eher, dass das erschwerte Erstellen von Ausnahmen die SSL-Nutzung unpopulär macht.

[Sesmar]

Das Problem ist eher, dass das erschwerte Erstellen von Ausnahmen die SSL-Nutzung unpopulär macht.

Ganz richtig. Ich wurde aufgrund dessen schon von einem Kunden gebeten, auf einer Seite kein SSL mehr zu verwenden. Möglich ist es natürlich weiterhin, aber nicht mehr direkt über Verlinkungen. Ein teures Zertifikat wollte er nicht kaufen. So geht der Schuß nach hinten los: Anstatt wenigstens eine verschlüsselte Verbindung mit einem Self-Signed-Zertifikat zu haben, gehen die Daten jetzt wohl meist ganz unverschlüsselt durch die Leitung...

[gS-]

Wieder ein Grund mehr für mich öfters Opera zu benutzen... Rolle.

sehe ich genau so !

[bin_nur_gast]

Ist dieses "Feature" denn schon implementiert?
Denn wenn man auf eine Seite mit nicht-signierten Zertifikat geht (z.B. https://coyote.ferrus.net/ ) und eine Ausnahme erstellt, zeigt Firefox trotzdem an, dass die Verbindung verschlüsselt ist.

Wieder ein Grund mehr für mich öfters Opera zu benutzen...

Gegen dieses "Feature" gibt es bestimmt eh bald ein Addon.

[pvna]

Ich habe das Gefühl, der Autor der News hat da Mist gebaut.
Die verlinkte Quelle erklärt's richtig.

Das Verhalten des Firefox hat sich nicht verändert, nur die Umsetzung.
Man muss nicht-zertifizierte Zertifikate manuell annehmen - wie es bei jedem Browser sein sollte, und wie es bisher auch bei Firefox immer der Fall war. Punkt.

Was sich bei Firefox 3 im Vergleich zu Firefox 2 nun geändert hat: der Prozess, wie man diese Zertifikate hinzufügt (der User erhält mehr Informationen und soll vor leichtfertigem "Okay"-Klicken geschützt werden).

[gS-]

Ich habe das Gefühl, der Autor der News hat da Mist gebaut.

Ist alles zur vollständigen Genauigkeit verändert worden
An dieser Stelle sei erneut zur Benutzung von Opera aufgerufen.

[ALLAHs-Diener]

Gegen dieses "Feature" gibt es bestimmt eh bald ein Addon.

wieso muss man eigentlich für jeden furz bei firefox ein addon installieren?

bei opera ist das alles schon standardmäßig enthalten.

[pvna]

An dieser Stelle sei erneut zur Benutzung von Opera aufgerufen.

Proprietäre Software als Alternative zu einer freien Anwendung im Zusammenhang mit Sicherheit zu empfehlen ... das ist natürlich ... groß.

[gS-]

Ich habe das Gefühl, der Autor der News hat da Mist gebaut.
Die verlinkte Quelle erklärt's richtig.

This behavior means that a public web site basically can’t be encrypted unless they are willing to pay an approved vendor a yearly fee for a certificate

Not only does it make users less secure overall by reducing the number of encrypted connections

pvna ? Welche Quelle ?!

[pvna]

Der von dir zitierte Satz ist so - ohne Zusammenhang - falsch. Am Anfang des Blogposts wird's ja richtig erklärt. Entweder folgert der Autor daraus, dass die "dummen User" es nicht gebacken kriege, Ausnahmen hinzuzufügen und deshalb 'unzertifizierte Zertifikate' praktisch nutzlos werden, eben weil sie nicht akzeptiert werden können (gewagt, gewagt!) oder er hat's doch nicht verstanden.

[gS-]

This behavior means that a public web site basically can’t be encrypted unless they are willing to pay an approved vendor a yearly fee for a certificate

Webseite (viel mehr die Verbindung) kann ohne Unterzeichnung nicht verschlüsselt werden, oder wie siehst du das ? So lese ich das raus

[sphaeroid]

Ursache für diese Policyverschärfungen sind nicht nur MiM-Attacken, sondern vor allem die Phishingproblematik.

Selbstzertifizierte https-Pages täuschen viele unerfahrene und unkundige Internetuser, zB ein von vloksbank.de zertifizierte Statusseite auf vloksbank.de wird so manchen Unaufmerksamen gefangen haben. Über 90% der User haben keine richtige Vorstellung was "Sicherheit" eigentlich heisst und meinen dann eine "secured" Verbindung wäre eben generell eine "sichere" Angelegenheit.

Auf meinem "kaufmännischen" PC mit den Abrechnungssystemen habe ich mit IE und Kaspersky dieses Blockverhalten schon lange. Es war mir immer eine besondere Freude teilstaatliche Einrichtungen wie den Entsorgungsapparat für Radios (EAR), SVNET oder Elster darauf hinzuweisen, dass ein selbstausgestelltes Zertifikat genausowenig ein Zertifikat ist, wie ein selbstgebastelter Reisepass ein solcher ist und dass es ein Witz ist, dass derartige Einrichtungen keine 50€ ausgeben können um sich ein anständiges Zertifikat zu besorgen.

[pvna]

Webseite (viel mehr die Verbindung) kann ohne Unterzeichnung nicht verschlüsselt werden, oder wie siehst du das ? So lese ich das raus

Ja, das lese ich auch daraus. Aber wie gesagt,
(1.) entweder will es der Autor so verstanden wissen, dass er vermutet, die Leute würden die selbstzertifizierten Zertifikate nicht akzeptieren, weil die Firefox-Entwickler die Funktion so umständlich gemacht haben (sprich: User geht auf SSL-Version, sieht eine Fehlermeldung, weiß nicht weiter und geht zurück zur unverschlüsselten Variante -> somit wird unsichere Verbindung verwendet),
(2.) oder der Autor liegt falsch
(3.) oder der Autor hat entdeckt, dass selbstzertifizierte Zertifikate beim Firefox 3, obwohl sie vom User akzeptiert wurden, nicht verschlüsseln. - was ich bezweifle, denn diesen Hammer (der zurecht eine solche News wert gewesen wäre) hätte er wohl etwas mehr an die große Glocke gehangen ;-)

[rad1us]

Egal wer das Zertifikat ausgestellt hat ob selbst signiert oder nicht die Verbindung ist gesichert, denn das Certifikat hat damit nicht viel zu tun ... das ist nur für die Authentisierung gut nicht für die verschlüselung.

Das es nun etwas umständlicher geworden ist selbstsignierte Certifikate zu akzeptieren ist GUT so, es ist einfach oft der einzige schutz gegen MiM und der Normale User wird ja drücken und weiter machen und möglicherweise mit verheerenden folgen.

So wird er zumindest ausgibig gewarnt, auserdem ist die Certifikats darstellung im ff3 um einiges besser, leute müssen lernen was Digitalie Signaturen überhaupt sind ^^. Denn dann weiss man auch das sie NICHTS NULL NADA wert sind ohne einen vertrauenswürdigen dritten der ledier irgend wie seine Infrastruktur auch betreiben muss.

Die preise werden hoffentlich fallen je mehr es eingesetzt wird.

Peace