{"id":1133,"date":"2010-03-30T19:28:12","date_gmt":"2010-03-30T18:28:12","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1133-eff-zweifelt-an-ssl"},"modified":"2018-05-29T21:56:54","modified_gmt":"2018-05-29T20:56:54","slug":"eff-zweifelt-an-ssl","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1133-eff-zweifelt-an-ssl","title":{"rendered":"EFF zweifelt an SSL"},"content":{"rendered":"<p>Genau genommen nicht am SSL-Protokoll sondern an der durch die Zertifikate garantierte Abh\u00f6rsicherheit. Die EFF vermutet, dass staatliche (insbesondere amerikanische) Stellen die <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/EFF-zweifelt-an-Abhoersicherheit-von-SSL-963857.html\">Anbieter von SSL-Zertifikaten zwingen k\u00f6nnen, falsche Zertifikate auszustellen<\/a>.<\/p>\n<ul>Soghoian und Stamm beschreiben als m\u00f6glichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert.<\/ul>\n<p>Das w\u00e4re doch mal eine gute Sache. Und Firefox warnt mich immer dann, wenn sich das Zertifikat \u00e4ndert. Genau genommen der SHA-1 Fingerprint. Am liebsten auch, wenn das Zertifikat nur verl\u00e4ngert wird. Dann kann ich selbst entscheiden ob und wem ich vertrauen will.<\/p>\n<p>Mal nachdenken. <a href=\"http:\/\/blog.fefe.de\/?ts=b7a3db16\">Fefe hat vor einiger Zeit<\/a> einen <a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=471798\">Bugreport daf\u00fcr bei Mozilla<\/a> eingereicht. Carlo von Loesch verweist dort auf das <a href=\"https:\/\/addons.mozilla.org\/en-US\/firefox\/addon\/6415\">Browser-Addon Certificate Patrol<\/a>, das diese Funktion angeblich implementiert. Ich habe das jetzt mal installiert und wenn es was taugt, kommt es zur Liste meiner dauerhaften Addons dazu.<\/p>\n<p><strong>Nachtrag: <\/strong><\/p>\n<p>Freedom to Tinker hat auch drei interessante Beitr\u00e4ge dazu:<\/p>\n<ul>\n<li><a href=\"http:\/\/www.freedom-to-tinker.com\/blog\/felten\/mozilla-debates-whether-trust-chinese-ca\">Mozilla Debates Whether to Trust Chinese CA<\/a> von Ed Felten<\/li>\n<li><a href=\"http:\/\/www.freedom-to-tinker.com\/blog\/sjs\/web-security-trust-models\">Web Security Trust Models<\/a> von Steve Schultze<\/li>\n<li><a href=\"http:\/\/www.freedom-to-tinker.com\/blog\/felten\/web-certification-fail-bad-assumptions-lead-bad-technology\">Web Certification Fail: Bad Assumptions Lead to Bad Technology<\/a> by Ed Felten<\/li>\n<\/ul>\n<p>Und erw\u00e4hnte ich eigentlich schon, dass ich das zertifikatsbasierte Sicherheitsmodell von SSL als gescheitert ansehe? <a href=\"http:\/\/de.wikipedia.org\/wiki\/Ceterum_censeo_Carthaginem_esse_delendam\">Und Karthago muss zerst\u00f6rt werden<\/a>! \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Genau genommen nicht am SSL-Protokoll sondern an der durch die Zertifikate garantierte Abh\u00f6rsicherheit. Die EFF vermutet, dass staatliche (insbesondere amerikanische) Stellen die Anbieter von SSL-Zertifikaten zwingen k\u00f6nnen, falsche Zertifikate auszustellen. Soghoian und Stamm beschreiben als m\u00f6glichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert. Das w\u00e4re doch mal eine gute Sache. Und Firefox warnt [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1133"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1133"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1133\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}