Nehmt ihr eure Internetsicherheit selbst in die Hand oder vertraut ihr eurem Betriebssystem bzw. Browserhersteller?
Firefox hat 159 vorinstallierte Root CAs, viele davon wirken nicht gerade vertrauenswürdig. Zum Beispiel:
- China Financial Certification Authority (CFCA)
- Chunghwa Telecom
- Global Digital Cybersecurity Authority Co., Ltd. (Formerly Guang Dong Certificate Authority (GDCA))
- Government of Hong Kong (SAR), Hongkong Post, Certizen
- Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
- Government of The Netherlands, PKIoverheid (Logius)
- Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
- iTrusChina Co., Ltd
- Shanghai Electronic Certification Authority Co., Ltd.
- Taiwan-CA Inc. (TWCA)
Das Problem mit diesen Root CAs ist, dass sie gefälschte Zertifikate ausstellen können, um MiTM Angriffe für beliebige Webseiten durchzuführen (trotz TLS/SSL). Dass einige dieser CAs von Regierungen undemokratischer Länder wie China oder der Türkei kontrolliert werden, die dafür bekannt sind, Hackerangriffe gegen politische Gegner durchzuführen, finde ich äußerst besorgniserregend.
Ich habe deshalb die meisten Root CAs auf meinen Geräten deaktiviert. Ich denke aber, dass sich viele Menschen gar nicht damit beschäftigen und einfach alle vorinstallierten CAs aktiviert lassen.
Wie macht ihr das, und warum?
Das Ergebnis basiert auf 6 Abstimmungen
5 Antworten
Dass einige dieser CAs von Regierungen undemokratischer Länder wie China oder der Türkei kontrolliert werden, die dafür bekannt sind, Hackerangriffe gegen politische Gegner durchzuführen, finde ich äußerst besorgniserregend.
Das ist mit einer USA Flagge im Profil schon irgendwie ironisch, wenn man sich so deren Geheimdienstaktivitäten anschaut.
Aber an sich ist der Punkt schon auch valide.
Es gibt eine RFC um ausgestellte Zertifikate zu loggen, damit man solche Attacken nachvollziehen könnte, muss aber auch ehrlich sagen ich kenne den Status davon nicht wirklich. Schau mal hier: https://certificate.transparency.dev/
Außerdem gab es hpkp, bei dem du Keys zu deiner Website pinnen konntest um zu vermeiden, dass fremde Organisationen valide Zertifikate für dich austellen können, aber das hat nicht so funktioniert. So eine Lösung, sei es über Header oder DNS, wäre natürlich schon irgendwie schön um die vertrauenswürdigen CAs oder Zertifikate zu begrenzen, aber da gibt es aktuell irgendwie kein wirklich supporteten Standard im Web. In Apps kann das natürlich jeder pinnen wie man möchte und das ist ja eigentlich auch best practice.
Trotzdem, ich lasse die default Root Zertifikate aktiviert, ich sehe da jetzt die große Notwendigkeit. Für mich wäre da die Gefahr durch Zero Days denke ich relevanter, zu den haben solche bad actor ja realitisch gesehen natürlich auch Zugang.
Das mit der Verschlüsselung stimmt so nicht, steht aber sowohl in den USA als auch hier immer wieder in der Debatte.
Die in der Frage genannten Staaten wie Türkei, China nehmen sich da aber auch nicht viel. Jeder halt nach seinen Möglichkeiten.
Stimmt schon in der USA.
Eine Firma wollte Ihrer Verschlüsselung keine Backdoor für die US-Regierung einbauen und wurde vom Markt gedrängt.
Auf Standardproduktivsystemen vertraue da ganz überwiegend den jeweiligen Entwicklern (Mozilla, Canonical, bzw. Debian / Linux bzw. am Handy GrapheneOS).
Im Zweifel und bei kritischen Sachen werfe ich auch schon mal einen Blick auf den Aussteller des Zertifikats bzw. prüfe das Zertifikat manuell. Aber das ist für den Alltag nicht praktikabel.
Ja, man könnte außer den großen Anbietern alle fragwürdigen CAs rausschmeißen. Damit erschwert man zumindest den kleineren Ländern solche Angriffe. Die BigPlayer und insb. die USA bleiben trotzdem als Angriffsvektor da.
Mir wird nicht klar, wo die Bedrohung liegen soll. Für Normalnutzer von Computern ohne Spezialkenntnisse über Root CAs wäre ein Link zu einer vertrauenswürdigen Quelle hilfreich, etwa zum BSI.
Du hast ja gerade von der 5$ Brecheisen-Methode geschrieben. Die wär übrigens eher die 5$ Schraubenschlüssel-Methode ;-)
Ab einem gewissen Maß an Sicherheitsbedürfnis wird es m.M.n. Paranoia aber egal...
Klar kann man sich eventuell ein gefälschtes Zertifikat besorgen. Das wird nur recht aufwendig wenn man nicht für einen Geheimdienst arbeitet.
Gemäß der von dir angeführten Methode gibt es also einen einfacheren Ansatz - ich kann dir eine Schadware unterzuschieben und deinen DNS zu manipulieren bzw. dir einen von mir kontrollierten DNS unterzuschieben.
Dann kann ich dich auf jeden Server mit Let's Encrypt Zertifikat lotsen, den ich administriere.
Auf dem gleichen Weg kann ich dir mein selbstgestricktes Root-CA Cert. in den Browser einfügen. Du kontrollierst die Liste ja nicht mehrmals täglich ...
Darauf zu achten welches Zertifikat die Seite hat und ob das passen kann macht dann mehr Sinn als sich durch diese Liste zu ackern und dann eventuell mit einigen Seiten erst ein Problem zu haben.
Klar klingt das jetzt etwas einfacher als es tatsächlich ist aber dennoch wäre es einfacher als eine offizielle als sicher anerkannte Zertifizierungsstelle dazu zu bringen, dass die mir gefälschte Zertifikate ausstellen.
Natürlich ist diese Maßnahme keine Garantie für 100% Sicherheit. Dass man keine Programme aus unvertrauenswürdigen Quellen in Umgebungen ausführen sollte, in denen sie Schaden verursachen können, sollte allgemein bekannt sein. Full Disk Encryption und Secureboot sind inzwischen eh schon Standard, und unbeaufsichtigt sollte man sowieso niemanden an seinen PC lassen.
Für das DNS Problem gäbe es DNSSEC, das ist nur leider nicht weit genug verbreitet. HTTPS Everywhere hilft aber auch schon, und eine entsprechende Einstellung ist inzwischen in vielen Browsern vorhanden.
Das alles sind einfache Maßnahmen, die mit wenig Aufwand für viel Sicherheit sorgen können. Nur über Root CAs redet irgendwie nie jemand.
Nur über Root CAs redet irgendwie nie jemand.
Klar! Weil das für einen Normalbürger undurchsichtig ist und die nicht mal wüssten wo sie anfangen. Außerdem können Sie sich so auch schnell alles zerschießen und dann das Internet nicht mehr ordentlich nutzen.
Kurz um - Otto Normaluser ist zu dumm dafür und darum spricht das keiner an...
Dass man keine Programme aus unvertrauenswürdigen Quellen in Umgebungen ausführen sollte, in denen sie Schaden verursachen können, sollte allgemein bekannt sein
Ist es nicht! Bei dir schon aber nicht bei über 90% der User.
Full Disk Encryption und Secureboot sind inzwischen eh schon Standard
Helfen in dem Fall aber nicht und Standard ist FDE auch nicht. Außerdem sind auch da viele zu doof das zu handeln. Ich bekomme im Monat 3-5 Anfragen für Datenrettungen von verschlüsselten Daten deren PW vergessen wurde.
HTTPS Everywhere hilft aber auch schon, und eine entsprechende Einstellung ist inzwischen in vielen Browsern vorhanden.
OK aber Let's Encrypt, C-Panel, etc. sind ja gültige Zertifikat. Du brauchst nur ein Hoster-Paket mit einem passenden Zertifikat dass du an deine Kunden weitergeben kanns und schon kannst so was abziehen. Alternativ dazu einen kleinen Hoster mit ein paar Kunden aufkaufen der das schon hat.
Da gibt es einige die aufhören da die Preise für Hosting so in Keller sind.
Was sind CAs???? Ich kenne C&A, kann ich aber nicht empfehlen.
Wer meine Daten haben will, bitteschön. Ich will dafür Rabatte beim Online Shopping sehen, dann ist es für mich OK.
Ich vertraue meinen Laptop und Handy blind. Bisher hat alles wunderprächtig funktioniert.
LG
Karen
👏 gerade bei der USA ist ja ganz offiziell bekann dass dort vom Staat alles ausspioniert wird und Verschlüsselungen dort nur erlaubt sind wenn es eine Hintertür für die US Regierung gibt