Mozilla SSL Policy: Browser-Entwickler grenzt SSL-Nutzung ein

[gullinews]

Sicherheitstechnologien spielen in einer Zeit, in der Onlinebetrug an der Tagesordnung steht, eine wichtige Rolle. Ein beliebtes Mittel um abgesicherte Verbindungen herzustellen ist SSL (Secure Socket Layer). Alle gängigen Browser verstehen diese Methode der verschüsselten Datenübertragung. Die Mozilla Corporation beschränkt nun die Nutzung von SSL für den Firefox 3.

Seit der Veröffentlichung des Firefox 3 können nur noch zahlungswillige Webseitenbetreiber ihren Besuchern den vollen Genuss der SSL-Verschlüsselung anbieten. Falls ein Besucher eine Internetseite ansteuert, auf der ein selbst unterzeichnetes SSL-Zertifikat hinterlegt ist, kriegt der Anwender eine Warnmeldung anstelle des Seiteninhalts zu Gesicht. "Dem Sicherheitszertifikat ist nicht zu vertrauen. Es wurde vom Ersteller selbst unterzeichnet." Dies soll den Besucher warnen und vor möglichen Gefahren schützen.

weiterlesen

[Crass Spektakel]

Ist mir neulich schon auf der Homepage der Piratenpartei aufgefallen, riesen Warnmeldung und drei Dutzend Klicks später hatte ich das Zertifikat temporär zugelassen.

[Dexter]

Leicht OT:

wieso muss man eigentlich für jeden furz bei firefox ein addon installieren?

Kurzfassung: Firefox wurde irgendann aus einem vollwertigem Browser soweit verkrüppelt, dass er nur noch zum Anzeigen von "normalen" Webseiten taugt.
Langfassung:
http://de.wikipedia.org/wiki/Seamonkey und folgende Links.

bei opera ist das alles schon standardmäßig enthalten.

in anderen vernünftigen - und im Gegensatz zu Opera - quelloffenen Browsern auch.

[wolfkid]

Weiter leicht OT:

wieso muss man eigentlich für jeden furz bei firefox ein addon installieren?

Man muss nicht, man kann! Und deswegen kann ein Browser schlank und schnell bleiben, während andere durch bereits implementierte Funktionen immer aufgeblähter werden.
Und dann hat man hinterher den IE mit einem Opera-Logo.

So wird er zumindest ausgibig gewarnt, auserdem ist die Certifikats darstellung im ff3 um einiges besser, leute müssen lernen was Digitalie Signaturen überhaupt sind ^^.

[pra]

hm, so wie ich das sehe, ist es an sich ne gute sache, das Problem ist dass die FF-Entwickler diejenigen sind, die entscheiden, welche unternehmen vertrauenswürdig zertifizieren. Und dass diese Unternehmen so viel Geld dafür verlangen.

Btw immer wieder lustig, wie die Operatrolle aus ihren Höhlen gekrochen kommen, sobald es um den Fuchs geht

[MrJack]

.... Und dass diese Unternehmen so viel Geld dafür verlangen.

Sehr richtig. Die Unternehmen verlangen dafür sehr viel Geld. Warum verlangen sie dafür sehr viel Geld?

Nicht, weil ihre Technik besser ist als die von CAcert und deshalb mehr Geld kostet, nein.
Auch nicht, weil diese Firmen einen tollen Schutz bieten, nein, das ist es nicht.

Es ist schlichtweg so, dass die Firefox-Entwickler ihre Position auf dem Markt schamlos ausnutzen und schlichtweg versuchen, aus jedem Schei* Geld zu machen.
Ich weiß nicht, wie viele tausend Dollar geflossen sind, damit Unternehmen wie verisign und Andere diese "achso tollen" Zertifikate verkaufen dürfen.
Was ich weiß, ist, dass die Firefox-Entwickler geldgeil sind

[bin_nur_gast]

Ja, das lese ich auch daraus. Aber wie gesagt,
(1.) entweder will es der Autor so verstanden wissen, dass er vermutet, die Leute würden die selbstzertifizierten Zertifikate nicht akzeptieren, weil die Firefox-Entwickler die Funktion so umständlich gemacht haben (sprich: User geht auf SSL-Version, sieht eine Fehlermeldung, weiß nicht weiter und geht zurück zur unverschlüsselten Variante -> somit wird unsichere Verbindung verwendet)

Genau das les ich aus dem englischen Blogeintrag auch herhaus.
Wenn man eine Ausnahme erstellt, funktioniert ja bei mir (FF 3.0.1) nachweislich die Verschlüsselung noch - oder ist das bei jemanden hier nicht der Fall?

Egal wer das Zertifikat ausgestellt hat ob selbst signiert oder nicht die Verbindung ist gesichert, denn das Certifikat hat damit nicht viel zu tun ... das ist nur für die Authentisierung gut nicht für die verschlüselung.

Es geht ja eher darum, dass Vertaulichkeit nur dann gewährleistet werden kann, wenn die Nachricht verschlüsselt UND der Empfänger authentisch ist. Deshalb sollte man die beiden Sachen nie voneinander trennen.
Im SSL bzw. TLS ist eine Authentisierung ist deshalb sehr wichtig, weil sonst ohne weiteres ein Man-In-The-Middle-Angriff möglich ist.

[M!W]

die News lesen sich irgendwie so negativ. Dabei finde ich es durchaus gerechtfertigt, dass sich die User erstmal durchlesen sollten was sie eigentlich akzeptieren, grade in der Windows Welt wird gerne einfach auf OK geclickt ohne zu lesen was eigentlich auf dem Popup stand...

[DanielCheef]

"Die Mozilla Corporation beschränkt nun die Nutzung von SSL für den Firefox 3."

Die News ist so wirklich nicht ganz in Ordnung, bzw. verwirrend oder drückt sich negativer aus als dass es wirklich ist. Firefox 3 löst das Problem genauso, wenn nicht sogar um einiges besser wie der IE7 und beschränkt die Nutzung von SSL nicht. Auch beim IE7 muss bestätigt werden ob das unvertraute Zertifikat angenommen werden soll und dies auch bei jedem Aufrufen der Seite, es sei denn man importiert das unsichere Zertifikat in den "vertrauten" Zertifikatsspeicher was der Funktion der Ausnahmeregel des Firefoxes entspricht, nur ist es im IE um einiges komplizierter.


Was ich generell aber noch nicht ganz begriffen habe:
In wie fern ist ein selbst signiertes Zertifikat im Bezug der Datenübertragung unsicherer gegenüber dem eines CA signierten? -Die Kommunikation bleibt doch auch bei einem selbst signierten Zertifikat zwischen Server und Client verschlüsselt.

Spielt es bei einer MiM-Attacke eine Rolle ob ich ein selbst signiertes Zertifikat habe oder das einer "vertrauten" CA? -können nicht beide gefälscht/abgefangen werden?

[bin_nur_gast]

Was ich generell aber noch nicht ganz begriffen habe:
In wie fern ist ein selbst signiertes Zertifikat im Bezug der Datenübertragung unsicherer gegenüber dem eines CA signierten? -Die Kommunikation bleibt doch auch bei einem selbst signierten Zertifikat zwischen Server und Client verschlüsselt.

Das Problem ist wie gesagt, dass man dann eben nicht weis wer der andere ist bzw. das ggf. nicht überprüfen kann.

Spielt es bei einer MiM-Attacke eine Rolle ob ich ein selbst signiertes Zertifikat habe oder das einer "vertrauten" CA? -können nicht beide gefälscht/abgefangen werden?

Ja, ein Zertifikat kann man sehr einfach fälschen/sich selbst erzeugen, wenn man nicht überprüfen kann, wer es ausgestellt hat und man kann sich so einfach als jemand anderes ausgeben. Bei einen Zertifikat von einer CA geht nicht (so einfach), denn dort müsste man ja erst den Key von der CA haben.
Für einen Man-In-The-Middle-Angriff heisst, dass das sich der Angreifer einfach nur einen Schlüssel + Zertifikat erstellen muss (bzw. zwei, falls sich der Client auch authentifizieren soll - was aber oftmals weggelassen wird) und sich so am Anfang der Verbindung (bei der Schlüsselerzeugung/austausch) dem Server gegen über als Client und dem Client gegen über als Server ausgeben kann (da ja keiner die Möglichkeit besitzt zu überprüfen, ob der andere wirklich authentisch ist und deshalb dem anderen blind vertauen muss), und er so die ganzen Daten entschlüsseln kann.

PS: dazu kommt noch das man bei einer CA überprüfen kann, ob der Schlüssel/Zertifikat wiederrufen wurde. Ist zum Beispiel sinnvoll, wenn der Schlüssel "abhanden gekommen" ist oder man merkt, dass man einen schwachen Schlüssel erstellt hat (ich sag nur: Debian)

[Awebb]

FF3 macht ja jetzt geradezu, als sei alles, was eine ihm unbekannte Signatur hat, böse. Dem unkundigen User das mit einer Fehlerseite und mehreren vermeintlich unverständlichen Klicks vorzugaukeln, ist genauso bescheuert, wie das Gegenteil. Der "Ausnahme hinzufügen"-Link unten ist so klein, dass es sich ja wohl nur um eine Ausnahmeaktion handeln kann... und Ausnahmeaktionen machen nur die Profis.

Ich dachte, es sei inzwischen klar, dass Keuschheitsgürtel blödsinn sind...