Innenpolitik Korruption

Ich wollte eigentlich nicht mehr auf diesem Brett posten. Aber heute vormittag las ich auf Fefes Blog dies:

Bitte achtet auf das Datum der Veröffentlichung!

Ich werde mich hüten den Link "Fefes Blog" zu öffnen.

Eine Meldung wurde mir angezeigt:

"Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite"

Da sag ich mal : Nein Danke

Will mir nix einfangen, es reicht der Schnupfenvirus

Peter

Bei Fefe fängste dir nichts ein. Dem Blog kannst du vertrauen.
Da du aber ohne Erklärung dort vermutlich nicht hin wirst, im Anschluss ein Fullquote von Fefe zu diesem Thema.
Fefe ist btw Mitglied im CCC und sollte somit ohnehin kein Interesse daran haben, dir mit seiner Seite Schaden zuzufügen - oder überhaupt irgendwem.

Wenn du die Meldung umgehen möchtest, kannst du das Blog auch nur über http:// aufrufen und nicht über https://

[l] Jedes Mal, wenn ich hier auf die https-Version dieses Blogs verlinke, dann kriege ich gefühlte 3000 Mails von Lesern, die von den Terrorpanik-Warndialogen ihres Browsers erschlagen wurden.

Daher erkläre ich mal. Wenn man eine https-Webseite einrichtet, braucht man ein Zertifikat. Wenn sich der Webbrowser zum https-Server verbindet, zeigt ihm der Server dieses Zertifikat. Der Browser guckt dann, ob das aktuelle Systemdatum innerhalb des im Zertifikat stehenden Gültigkeitsdatumsbereichs ist (aktuell ist das bei mir 28.8.2010 bis 24.2.2011), und ob das Zertifikat von jemandem unterschrieben ist, der im Browser als vertrauenswürdig eingetragen ist. Browser kommen mit einer mehr oder weniger langen Liste von vertrauenswürdigen Zertifikaten. Ich hatte das auch kurz bei Alternativlos Folge 5 erklärt. Da sind lauter suuuper vertrauenswürdige Zertifikats-Aussteller drin wie z.B. Verisign (und deren Tochterunternehmen Comodo, Thawte, GeoTrust, ...), der bekannteste. Verisign ist so nahe an der US-Regierung dran, dass sie u.a. auch die DNS Top Level Domains .com und .net betreiben dürfen. Wie bei Alternativlos empfohlen, sollte sich jeder mal die Zeit nehmen, in seinem Browser die Liste der Zertifikate anzugucken. Bei Firefox guckt man in die Preferences, das Advanced Tab, dann das Encryption Unter-Tab, dann den View Certificates Knopf drücken, und in dem neuen Fenster das Tab "Authorities" öffnen. Da mal durchscrollen. JEDER von denen ist für den Browser vertrauenswürdig. Da ist z.B. auch die Deutsche Telekom dabei. Wenn jetzt z.B. die Bundesregierung gerne eure verschlüsselte Kommunikation abhören wollte, würden sie der Telekom einfach sagen, hey, macht uns mal ein Zertifikat für den Banking-Webserver der Sparkasse oder wo auch immer ihr euch so hinverbindet, auch Email und Jabber benutzen SSL. Und euer Browser würde sehen, dass deren Zertifikat von der Deutschen Telekom unterschrieben ist, und würde es kommentarlos akzeptieren.

Neben der US-Regierung und der Bundesregierung sind da auch noch die Chinesen am Start ("CNNIC"), die Contentmafia ("AOL Time Warner Inc."), America Online (nein, wirklich!), TÜRKTRUST, die Bankenmafia (VISA, Wells Fargo, ...), die Schweizer ("Swisscom"), Geert Wilders ("Staat der Nederlanden"), die Schweden und Finnen ("Sonera"), die Japaner, Intel und Microsoft. Das hängt auch von der Browserversion ab. Aber es ist wichtig, dass ihr versteht, dass jeder von denen, wenn er wollte, eure Email mitlesen könnte, indem er euch ein ungültiges (also ein von ihnen generiertes, von ihnen unterschriebenes, und daher vom Browser akzeptiertes) Zertifikat vor die Nase hält.

So, wenn ich jetzt einen SSL-Dienst einrichte, und ich möchte, dass das in eurem Browser ohne Terrorpanikmeldung funktioniert, dann kann ich einem der Kommerzanbieter ein paar Euro in die Hand drücken, und der gibt mir dann ein Zertifikat, das ein Jahr gültig ist. Marktführer ist Godaddy, da zahlt man pro Jahr pro Domain sowas wie $30.

Wer das noch nie gemacht hat: das geht so. Man geht dahin, gibt Daten in ein Webformular ein, gibt denen die Kreditkartennummer, und bei denen wirft sich dann ein Perl-Skript an, das das Zertifikat generiert. Die haben genau Null Arbeit. Zum Validieren schicken sie eine Mail an eine Mailadresse bei der Domain, üblicherweise sowas wie postmaster@ oder root@ oder webmaster@, in der Mail ist ein Link drin, den klickt man dann, und dann glaubt einem der Anbieter, dass man berechtigt ist, für die Domain ein SSL-Zertifikat zu haben. Mehr ist da nicht dabei. Ein Perl-Skript.

Nun habe ich aus grundsätzlichen Erwägungen heraus ein Problem damit, Leuten Geld für so eine Schutzgeldnummer zu geben, bei der die Gegenseite nichts tut, das ich nicht auch mal schnell selber hätte machen können. Die einzige Sache, die die von mir trennt, ist dass die eine Mail an Mozilla und Microsoft und Opera geschickt haben, um in die Liste der vertrauenswürdigen Aussteller aufgenommen zu werden. Ich habe mal herauszufinden versucht, was für Anforderungen die Browserhersteller an einen stellen, wenn man auf die Liste will. Die Details hängen vom Browser ab, aber ich will das mal so zusammenfassen: keine erwähnenswerten.

Wenn ich nun nicht einsehe, so einer Firma für das Aufrufen eines Perl-Skripts Geld zu geben, dann bleiben zwei Optionen, um eine SSL-Site zu kriegen. Ich kann mir selber ein Zertifikat machen und selbst unterschreiben. Oder ich kann zu cacert.org gehen, die bieten kostenlose Zertifikate an. In beiden Fällen gibt es von den Browsern einen großen roten Terrorpanikdialog. Der bei Firefox involviert inzwischen ein halbes Dutzend Interaktionen, bevor Firefox ein ihm unbekanntes Zertifikat erlaubt.

Aus meiner Sicht ist es egal, wie ich es mache. So rein fundamentalistisch betrachtet sind selbst-signierte Zertifikate die ehrlichste Variante. Je nach dem, wie man es betrachtet, gebe ich dann niemandem zusätzlich die Möglichkeit, sich eurem Browser gegenüber als meine Webseite auszugeben. CAcert ist der Kompromiss. Auf der einen Seite kostet das nichts, und ein User muss nur einmal CAcert trauen mit ihrem Browser und kommt dann auf alle https-Seiten mit deren Unterschrift drauf. Auf der anderen Seite prüfen die auch nicht weniger als kommerzielle CAs. Ich habe keine Ahnung, wieso die nicht bei den Browsern drin sind als vertrauenswürdig, ich finde CAcert persönlich vertrauenswürdiger als sagen wie Equifax, die Telekom oder CNNIC. Denn bei CAcert kann man den GPL-Quellcode runterladen. Und die Mailinglistenarchive sind öffentlich einsehbar. Wenn ihr keinen Bock habt, bei meinem Blog jedesmal rote Terrorpanikdialoge wegzuklicken, dann könnt ihr euch hier deren Root-Schlüssel holen und in eure Browser importieren. Wie das genau geht, hängt vom Browser ab. Deren Wiki beschreibt, wie man das macht. Achtung: wenn ihr das tut, kann zusätzlich zu den anderen unvertrauenswürdigen CAs auch CAcert euch gefälschte Webseiten vorspielen.

Aber, was ich an der Stelle nochmal ganz deutlich sagen will: nur weil ihr SSL benutzt, heißt das noch lange nicht, dass die Kommunikation sicher ist und nicht abgehört oder manipuliert werden kann. Im Zweifelsfall sollte man immer zusätzlich zu SSL noch eine Ende-zu-Ende-Verschlüsselung fahren. Bei Email und Jabber kann man z.B. openpgp haben, bei diversen Chatprotokollen gibt es OTR. Wenn ihr eine Wahl habt: immer das zusätzlich einschalten. Und wenn ihr mal jemanden im realen Leben trefft, nutzt die Chance, deren Schlüssel zu vergleichen, damit ihr sicher sein könnt, dass euch da keiner verarscht. Sowas nennt sich dann PGP Keysigning Party.

Update: Vielleicht sollte ich noch klarer sagen: ich habe die CAcert root key in meinen Trusted Root im Browser eingetragen. Fundamentalistisch gesehen müsst man einmal durch seinen Cert Store laufen und alles als unvertrauenswürdig markieren, und dann alle Zertifikate im Web manuell prüfen. Aber in den meisten Fällen geht das ja gar nicht. Wenn ich jetzt hier z.B. hinschreibe, dass der SHA1-Fingerprint für mein aktuelles Zertifikat

12:2F:49:D9:86:8D:29:40:38:FF:7D:85:48:FD:0A:89:CA:70:67:E8

ist, dann seid ihr auch nicht weiter als vorher. Wenn jemand die SSL-Verbindung zwischen euch und meinem Server manipulieren kann, um euch ein anderes Zertifikat unterzujubeln, dann kann der natürlich auch diese Fingerprintangabe fälschen. Objektiv gesehen müsste man an der Situation mit den SSL-Zertifikaten verzweifeln. Daher plädiere ich dafür, lieber die Leute zu informieren, wie viel Sicherheit ihnen das wirklich bietet, damit sie mit einer angemessenen Erwartungshaltung an SSL herangehen. Oh und: SSL hilft auch nicht gegen Trafficanalyse. Wenn jemand wissen will, welche Seiten ihr hier aufruft, dann kann er das anhand der Größe der Antworten rekonstruieren. Die Daten sind ja immerhin öffentlich. Trotzdem halte ich es für gut und wichtig, Verschlüsselung auch ohne Not einzusetzen, denn je höher der Anteil an verschlüsselten Daten im Netz ist, desto weniger macht man sich verdächtig, wenn man seine Daten verschlüsselt.

"Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite"

Der Rest ist eh Müll. Es ist dein ausdrückliches Recht https:// Webseiten nicht aufzusuchen. Gut du brauchst nicht und darfst unwissend bleiben. Alle die Anwender, die wissen wollen was es mit peter25s Frage auf sich hat und weshalb er euch verunsichern will, ist hier http://www.softed.de/fachthema/https.aspx erläutert.

Das Brett Innenpolitik ist durchaus richtig gewählt.

Es ist bekannt, dass Deutschland und Österreich die Antikorruptionsresolution zwar unterzeichnet, nicht aber ratifiziert haben. Wir befinden uns damit in Gesellschaft mit Japan, Neu Seeland, Bhutan, Myamar, Syrien, Saudi Arabien, Sudan, Guinea Swasiland und Elfenbeinküste. Ob das für uns schmeichelhaft ist, bezweifle ich.
Nicht unterzeichnet haben: Belize, Suriname, Äquatorial Guinea, Chad, Süd-Sudan, Eritrea, Somalia und Oman, Nordkorea sowie einige Mikronesische Inselstaaten.

Mich würden die Gründe interessieren, warum Deutschland nur unterzeichnet, das Abkommen aber nicht ratifiziert hat.

Margit

Mit anderen Worten:
Das Problem ist seit Einführung des https:// -Protokolls bekannt und ist trotzdem weniger unsicher als http:// Weshalb einige Browser diese Meldung ausgeben und andere nicht ist nicht nachzvollziehen. Ich benutze HTTPS Everywhere im Firefox und habe seit diesem Tage keine derartigen dümmlichen Meldungen mehr, die übrigens nur unter Winseln bekannt sind.

Hi technic freaks,


diskutiert ihr Korruption oder https://? Achtet auf Topic.

Guggstduma hier: Studie: Österreich gilt als immer korrupter vom 01.12.11. und sz: Heckler & Koch unter Bestechungsverdacht - Waffenlieferung gegen Parteispende? Ist also noch gar nicht so alt. Dann gab es noch die feine Spende von Mövenpick an CDU/CSU und FDP, die dann das Wachstumsbeschleunigungsgesetz zur Folge hatte. Wenn das und vieles mehr keine Korruption ist, was ist es dann?

Die Handhabung anerkannter Protokolle ist auch n bisschen korrupt, Emil =P

hinterwaeldler: Jawoll, persönlich bevorzuge ich auch https:// und hatte selbst so eine Meldung meines Wissens nach bisher auch nicht. Allerdings besteht mein Firefox auch nicht mehr aus der sagen wir mal Standardkonfiguration. Hmm und bei Fefe hatte ich die Meldung nie - aber selbst wenn, weiß ich ja, dass man ihm trauen kann.
Wenn jemand aber mit dem Sicherheitszertifikat nicht klarkommt, hat er halt die Möglichkeit einfach über http:// Fefes Blog zu besuchen - ja oder er lässt es. Wäre aber schade.

Zum Thema kann ich nur sagen: So traurig es ist, es überrascht mich nicht. Nennt mich Pessimist oder Schwarzseher (hrhr, GEZ, auch son Thema...) aber ich fühle mich so näher an der Realität, als so mancher Optimist.
Und das, obwohl ich an das Gute im Menschen glaube.
Aber eben nur, wenn er nicht gerade Teil eines Systems ist, in dem er für den Moment verschwindet und zum System wird.

Natürlich Korruption. Solche Fragen wie von Peter müssen jedoch auch geklärt werden oder willst du sie unwidersprochen hinnehmen? Ich denke mal das diese Problematik einigen unserer Mitglieder unangenehm ist und deshalb so argumentieren. Er hätte ja auch auf dem PC-Brett an die Experten seine Frage stellen können.