{"id":1061,"date":"2010-02-04T08:11:22","date_gmt":"2010-02-04T07:11:22","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1061-vertrauen"},"modified":"2018-05-29T22:22:15","modified_gmt":"2018-05-29T21:22:15","slug":"vertrauen","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1061-vertrauen","title":{"rendered":"Vertrauen"},"content":{"rendered":"<p>Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (<a href=\"http:\/\/en.wikipedia.org\/wiki\/X.509\">X.509v3<\/a> ist recht beliebt) nur um dann feststellen zu k\u00f6nnen, die Webseite <a href=\"https:\/\/www.commerzbank.de\/\">www.commerzbank.de<\/a> geh\u00f6rt wirklich der Commerzbank in Frankfurt.<\/p>\n<p>Wobei, wieso wirklich? Im Fall der Commerzbank best\u00e4tigt mir das die <a href=\"http:\/\/www.trustcenter.de\/\">TC Trustcenter GmbH<\/a> in Hamburg, seit neuestem eine Tochter der <a href=\"http:\/\/www.trustcenter.de\/PM_PGP.htm\">PGP Corp<\/a>. Mein Mozilla Firefox (3.0.x) zeigt mir das in blauer Farbe vor der URL. Die Frage ist jetzt nat\u00fcrlich, ob ich TC Trustcenter glaube. Also quasi ob ich denen vertraue, dass sie die Pr\u00fcfung korrekt durchgef\u00fchrt haben und mich nicht bel\u00fcgen. Ich pers\u00f6nlich halte TC Trustcenter f\u00fcr recht seri\u00f6s seit sie mal ein Zertifikat von mir nicht signieren wollten, das zugegeben geringf\u00fcgig phishy aussah.<\/p>\n<p>Wenn ich bei <a href=\"https:\/\/www.verisign.com\/\">Verisign<\/a> schaue, dem vermutlich weltweit wichtigsten Zertifikatsanbieter, bekomme ich sogar einen gr\u00fcnen Balken in meinem Firefox. Gr\u00fcn! Viel besser als blau! Weil Verisign hat sogar ein &#8222;Extended Validation&#8220;-Zertifikat. \u00dcbrigens von Verisign selbst ausgestellt. Die bescheinigen sich also selbst, dass sie Verisign sind. Das Extended Validation Zertifikat ist meiner Ansicht nach ja Beutelschneiderei par Excellenz. Da verlangt Verisign doppelt so viel Geld f\u00fcr das Zertifikat nur um den Antragsteller &#8222;genauer&#8220; zu pr\u00fcfen als f\u00fcr weniger Geld. Als ob eine vertrauensw\u00fcrdige Zertifizierungsstelle nicht sowieso genau pr\u00fcfen sollte. Aber gut, von Verisign kann man vermutlich nichts anderes erwarten. Die haben auch schon mal ohne Pr\u00fcfung Zertifikate auf den Namen Microsoft ausgestellt. (Die sind \u00fcbrigens immer noch im Internet Explorer als &#8222;Fraudulent&#8220; zu finden). Au\u00dferdem war Verisign <a href=\"http:\/\/www.reuters.com\/article\/idUSTRE4965MO20081007\">bis Oktober 2008 Haupteigent\u00fcmer von Jamba<\/a>. Das ist die Firma, die kleine Kinder mit Klingeltonabos \u00fcber den Tisch zieht. Ob ich die wirklich vertrauensw\u00fcrdig finde &#8230; ich bin mir da gar nicht so sicher. Verisign w\u00e4re jedenfalls der letzte Anbieter bei dem ich ein Zertifikat kaufen w\u00fcrde.<\/p>\n<p>Der <a href=\"https:\/\/www.ccc.de\/\">Chaos Computer Club<\/a> greift \u00fcbrigens auf die Dienste von <a href=\"http:\/\/www.cacert.org\/index.php?lang=de_DE\">CACert<\/a> zur\u00fcck. Die kennt mein Firefox nicht, und der Internet Explorer erst recht nicht. Obwohl ich die f\u00fcr recht vertrauensw\u00fcrdig halte. Beim IE ist das aber klar. Ich habe mir sagen lassen, dass Microsoft rund 50.000 USD will, damit eine Zertifizierungsstelle in den IE aufgenommen wird. Und da CACert die Zertifikate kostenlos anbietet, vertragen sich die beiden Gesch\u00e4ftsmodelle recht schlecht. Vertrauen hin oder her.<\/p>\n<p>\u00dcber die lustigeren Zertifizierungsstellen will ich gar nicht l\u00e4stern, auch wenn mir ein Zertifikat einer deutschen Onlinebank ausgestellt z.B. vom &#8222;Autoridad Certificadora del Colegio Nacional de Correduria Publica Mexicana&#8220; etwas &#8230; naja, spanisch &#8230; vorkommen w\u00fcrde. Obwohl die laut Internet Explorer sicher sehr vertrauensw\u00fcrdig sind. Leider ist deren Zertifikat Mitte 2009 abgelaufen. Aber es gibt ja auch noch die &#8222;Saunalahden Server CA&#8220; aus &#8230; na? &#8230; genau, Finnland. Wo soll so ein Saunala(h)den auch sonst herkommen \ud83d\ude09<\/p>\n<p>Warum ich das alles schreibe? Weil es bei SSL-Zertifikaten eben einfach nur um das Vertrauen zum Aussteller geht. Ist die Zertifizierungsstelle (CA) vertrauensw\u00fcrdig? Stellt sie nur Zertifikate aus wenn die Identit\u00e4t korrekt verifiziert worden ist? Oder kann jeder dahergerollte Sch\u00e4uble zu so einer CA gehen und ein falsches Zertifikat bekommen um einen staatlichen Man-in-the-Middle Angriff durchzuf\u00fchren? Dann will ich so eine CA gar nicht im Browser haben.<\/p>\n<p>Die Mozilla Foundation hat sich <a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=476766\">genau diese Diskussion<\/a> n\u00e4mlich jetzt eingefangen, nachdem die staatlich kontrollierte chinesische Domainregistry CNNIC mit ihrer Zertifizierungsstelle in den Firefox-Browser aufgenommen wurde. Dabei wurden die Anforderungen der Mozilla Foundation strikt erf\u00fcllt. CNNIC hat eine Zertifikatspolicy (CSP) die formal allen Anforderungen gen\u00fcgt. Meine Freunde von Ernst &amp; Young haben gepr\u00fcft, dass diese Policy formal ok ist. Webtrust hat gekuckt, dass Ernst &amp; Young formal korrekt gepr\u00fcft hat. Und die Mozilla Foundation verl\u00e4sst sich darauf, dass die Anforderungen von Webtrust formal korrekt sind. Formal eben. Nur das mit dem Vertrauen, das ist halt schwierig.<\/p>\n<p>Aber wenn mich jemand fragt &#8230; das Sicherheitsmodell von SSL ist sowieso f\u00fcr&#8217;n Arsch.<\/p>\n<p>(via <a href=\"http:\/\/blog.fefe.de\/?ts=b5974846\">Fefe<\/a>)<\/p>\n<p><strong>Nachtrag:<\/strong><\/p>\n<p>Die Mozilla Foundation hat die CNNIC-SSL-Zertifikate wieder aus der Standardinstallation entfernt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (X.509v3 ist recht beliebt) nur um dann feststellen zu k\u00f6nnen, die Webseite www.commerzbank.de geh\u00f6rt wirklich der Commerzbank in Frankfurt. Wobei, wieso wirklich? Im Fall der Commerzbank best\u00e4tigt mir das die TC Trustcenter GmbH in Hamburg, seit neuestem eine Tochter der PGP Corp. Mein [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1061"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1061"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1061\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}