30. März 2010

EFF zweifelt an SSL

Category: Internet — Christian @ 19:28

Genau genommen nicht am SSL-Protokoll sondern an der durch die Zertifikate garantierte Abhörsicherheit. Die EFF vermutet, dass staatliche (insbesondere amerikanische) Stellen die Anbieter von SSL-Zertifikaten zwingen können, falsche Zertifikate auszustellen.

    Soghoian und Stamm beschreiben als möglichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert.

Das wäre doch mal eine gute Sache. Und Firefox warnt mich immer dann, wenn sich das Zertifikat ändert. Genau genommen der SHA-1 Fingerprint. Am liebsten auch, wenn das Zertifikat nur verlängert wird. Dann kann ich selbst entscheiden ob und wem ich vertrauen will.

Mal nachdenken. Fefe hat vor einiger Zeit einen Bugreport dafür bei Mozilla eingereicht. Carlo von Loesch verweist dort auf das Browser-Addon Certificate Patrol, das diese Funktion angeblich implementiert. Ich habe das jetzt mal installiert und wenn es was taugt, kommt es zur Liste meiner dauerhaften Addons dazu.

Nachtrag:

Freedom to Tinker hat auch drei interessante Beiträge dazu:

Und erwähnte ich eigentlich schon, dass ich das zertifikatsbasierte Sicherheitsmodell von SSL als gescheitert ansehe? Und Karthago muss zerstört werden! 🙂

5 Comments

  1. Schon die Tatsache, dass man an „vertrauenswürdige“ Zertifikate nur herankommt, wenn man für die Signierung durch einer CA Geld bezahlen muss, zeigt dass hinter SSL auch wirtschaftliche Interessen stecken und eine Art Kontrolle gewahrt wird.

    Comment by Phil — 30. März 2010 @ 20:37

  2. Nunja, die Verifizierung einer Identität verursacht halt einen gewissen Aufwand der entweder von einer schwer überprüfbaren Community (CACert) oder einer Firma (Verisign & Co.) oder von einer Behörde (ePaß) durchgeführt werden muß. Außer bei der ersten Variante muß man immer bezahlen.

    Comment by Christian — 30. März 2010 @ 20:53

  3. Es geht nicht nur um den Browser. Wichtig ist auch der Mail Client. Die GPF hat da was gebloggt: https://www.privacyfoundation.de/blog/2010/03/ssl-nsa-tor-und-wikileaks-teil-2/

    Comment by name — 31. März 2010 @ 11:25

  4. Deswegen mach ich meinen Mailzugriff bevorzugt durch VPN. Bei GMX sieht man ja schon, wie schwierig das mit den Zertifikaten für POP3 über SSL ist

    Comment by Christian — 1. April 2010 @ 19:25

  5. Kommentare gesperrt wegen Spam

    Comment by Christian — 15. Mai 2010 @ 19:26

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.