[Postfixbuch-users] [OT] Firefox und Zertifikate

Jan P. Kessler postfix at jpkessler.info
Di Sep 2 19:28:10 CEST 2008


usenet at deiszner.de schrieb:
> Nochmal eine Verständnisfrage - vielleicht etwas OT: Wenn ich ein
> SSL-Zertifikat selbst erstelle und entsprechend in den Apache einbaue -
> ist die Verbindung dann verschlüsselt, auch wenn ich das Zertifikat nicht
> von einer offiziellen Zertifizierungsstelle signieren lasse?
>   

Ja - AAAABER ganz so einfach ist das leider nicht.

Die klassische Attacke gegen SSL/TLS gesicherte Verbindungen ist die 
sog. Man-in-the-middle (MITM). Vereinfacht gesagt funktioniert das wie 
folgt:

Initial:
1. Opfer fragt Server nach Zertifikat
2. Server antwortet mit Zertifikat
3. Angreifer fängt Antwort ab und schickt Opfer eigenes Zertifikat
4. Opfer erhält Zertifikat von Angreifer

Folge:
- Opfer verschlüsselt Verbindungen Zertifikat von Angreifer
- Angreifer kann fängt Daten ab, und entschlüsselt diese mit eigenem Cert
- optional: Angreifer verändert Daten
- Angreifer schickt Daten zum Server, verändert diese und schickt die 
Antworten zum Client...

Der einzige Schutz gegen diese Form der Attacke besteht darin, nicht 
blindlings alle Zertifikate zu akzeptieren - dazu gibt es die allseits 
bekannten Trustcenter, die solche Zertifikate (idR gegen EURuros) 
signieren. Die haben also schon ihren Sinn, speziell dann, wenn Du mit 
dem Betreiber des Zielservers keine Zertifikate offline verifizieren kannst.

Man kann zwar argumentieren, dass der Angreifer ja "zwischen" Opfer und 
Ziel gelangen muss (arp-spoofing, usw) - wenn man jedoch davon ausgeht, 
dass das unmöglich ist, kann man sich SSL/TLS auch gleich sparen. Es hat 
also durchaus seinen Sinn, dass die neueren Browserversionen etwas 
zimperlich beim Umgang mit selbstsignierten Zertifikaten sind.


Gruß, Jan






Mehr Informationen über die Mailingliste Postfixbuch-users