[Postfixbuch-users] [OT] Firefox und Zertifikate
Jan P. Kessler
postfix at jpkessler.info
Di Sep 2 19:24:58 CEST 2008
usenet at deiszner.de schrieb:
> Nochmal eine Verständnisfrage - vielleicht etwas OT: Wenn ich ein
> SSL-Zertifikat selbst erstelle und entsprechend in den Apache einbaue -
> ist die Verbindung dann verschlüsselt, auch wenn ich das Zertifikat nicht
> von einer offiziellen Zertifizierungsstelle signieren lasse?
>
Ja - AAAABER ganz so einfach ist das leider nicht.
Die klassische Attacke gegen SSL/TLS gesicherte Verbindungen ist die
sog. Man-in-the-middle (MITM). Vereinfacht gesagt funktioniert das wie
folgt:
Initial:
1. Opfer fragt Server nach Zertifikat
2. Server antwortet mit Zertifikat
3. Angreifer fängt Antwort ab und schickt Opfer eigenes Zertifikat
4. Opfer erhält Zertifikat von Angreifer
Folge:
- Opfer verschlüsselt Verbindungen Zertifikat von Angreifer
- Angreifer kann fängt Daten ab, und entschlüsselt diese mit eigenem Cert
- optional: Angreifer verändert Daten
- Angreifer schickt Daten zum Server, verändert diese und schickt die
Antworten zum Client...
Der einzige Schutz gegen diese Form der Attacke besteht darin, nicht
blindlings alle Zertifikate zu akzeptieren - dazu gibt es die allseits
bekannten Trustcenter, die solche Zertifikate (idR gegen €uros)
signieren. Die haben also schon ihren Sinn, speziell dann, wenn Du mit
dem Betreiber des Zielservers keine Zertifikate offline verifizieren kannst.
Man kann zwar argumentieren, dass der Angreifer ja "zwischen" Opfer und
Ziel gelangen muss (arp-spoofing, usw) - wenn man jedoch davon ausgeht,
dass das unmöglich ist, kann man sich SSL/TLS auch gleich sparen. Es hat
also durchaus seinen Sinn, dass die neueren Browserversionen etwas
zimperlich beim Umgang mit selbstsignierten Zertifikaten sind.
Gruß, Jan
Mehr Informationen über die Mailingliste Postfixbuch-users