So langsam wird das ja mein Lieblingsthema hier im Blog: IT-Sicherheit und Vertrauen. Wem vertrauen wir und warum? L\u00e4sst sich das \u00fcberhaupt rational begr\u00fcnden? Manches kommt mir schon seltsam vor. Trust Center beispielsweise f\u00fchren im Namen schon die Bezeichnung „Trust“. Gerade so, als w\u00e4re es zwingend notwendig darauf hinzuweisen, dass man diesen Centern doch bitte auch vertrauen soll. Ein normaler, vern\u00fcnftiger Mensch w\u00fcrde das n\u00e4mlich nicht tun.<\/p>\n
Der aktuelle Anlass um mal wieder \u00fcber Trust Center zu polemisieren ist die Art und Weise, wie manche Zertifizierungsstellen die Identit\u00e4t eines Antragsstellers \u00fcberpr\u00fcfen<\/a>. Dazu muss man wissen, dass sich in der Praxis vier (genauer 4,5) Klassen der Identit\u00e4tspr\u00fcfung herausgebildet haben:<\/p>\n Soweit ist das ja ok. Allerdings setzt bereits eine Class 2 Verification einen gewissen Aufwand voraus. Unter Umst\u00e4nden kann man das nicht komplett automatisieren sondern muss manuell pr\u00fcfen, ob die ganzen Daten \u00fcbereinstimmen. TC Trustcenter hat sich bei mir da mal verdient gemacht (das ist jetzt ausnahmsweise nicht ironisch), weil sie es abgelehnt haben ein Zertifikat auszustellen in dem die Daten nicht 100% mit den Unterlagen \u00fcbereingestimmt haben. (Ursache war, dass wir am umziehen waren und ich das Zertifikat schon mal auf die neue Anschrift ausgestellt haben wollte).<\/p>\n Der eine oder andere Zertifizierungsstellenbetreiber ist deshalb auf folgenden Trick gekommen, den Aufwand zu minimieren:<\/p>\n Das ist eine mutige Annahme. Darunter befinden sich n\u00e4mlich auch so Adressen wie:<\/p>\n und teilweise noch abwegigere wie<\/p>\n In irgendwelchen nie gelesenen RFCs sind tats\u00e4chlich alle diese E-Mail Adressen f\u00fcr besondere Zwecke mal reserviert worden. Die meisten Mailsysteme und praktisch alle Administratoren wissen aber nichts davon. Und wenn dann ein normaler Anwender eine dieser Mailadressen hat, kann er damit beispielsweise SSL-Zertifikate f\u00fcr die Domain beantragen obwohl er daf\u00fcr gar nicht berechtigt sein sollte.<\/p>\n Aufgeflogen ist das ganze jetzt mal wieder, weil Kurt Seifried<\/a> beim Freemail-Anbieter Portugalmail<\/a> die nicht gesperrte E-Mail Adresse ssladministrator@portugalmail.pt registriert hat und damit erfolgreich ein SSL-Zertifikat f\u00fcr die Domain portugalmail.pt bei RapidSSL bekommen hat. \u00dcbrigens mal wieder eine 100%ige Tochter von Verisign. Dokumentiert ist das in einem Bugreport bei Mozilla<\/a> der fordert, RapidSSL aus den vertrauensw\u00fcrdigen Zertifizierungsstellen zu entfernen sowie in einem Artikel im Linux Magazine<\/a>.<\/p>\n Passieren wird aber mal wieder nichts, weil sich die Mozilla Foundation nicht mit dem m\u00e4chtigen Konzern Verisign anlegen will. Und RapidSSL hat ja auch verk\u00fcnden lassen, Zertifikate nur noch bei einigen wenigen Mailadressen einfach so rauszuschicken. Klingt ganz toll, l\u00f6st n\u00e4mlich das darunterliegende Problem nicht: Erschreckend vielen Zertifizierungsstellen ist es offensichtlich einfach viel zu teuer die eigentlich geforderte korrekte \u00dcberpr\u00fcfung des Antragstellers auch durchzuf\u00fchren. Statt dessen wird da gemauschelt und geschummelt was das Zeug h\u00e4lt. Eigentlich geh\u00f6rt das ganze Sicherheitskonzept von SSL entsorgt<\/a> und neu entworfen.<\/p>\n Und darum hei\u00dfen diese Firmen ja auch Trust Center, sonst w\u00fcrde denen schlie\u00dflich niemand vertrauen.<\/p>\n","protected":false},"excerpt":{"rendered":" So langsam wird das ja mein Lieblingsthema hier im Blog: IT-Sicherheit und Vertrauen. Wem vertrauen wir und warum? L\u00e4sst sich das \u00fcberhaupt rational begr\u00fcnden? Manches kommt mir schon seltsam vor. Trust Center beispielsweise f\u00fchren im Namen schon die Bezeichnung „Trust“. Gerade so, als w\u00e4re es zwingend notwendig darauf hinzuweisen, dass man diesen Centern doch bitte […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1242"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1242"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1242\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Man definiert ein paar sogenannter „System-E-Mail-Adressen“, die per Definition (par ordre de mufti<\/a>) in jedem Mailsystem vorhanden sein m\u00fcssen und die dann vertrauensw\u00fcrdig sind, weil die nur vom Betreiber des Mailsystems und damit vom Eigent\u00fcmer der Domain genutzt werden k\u00f6nnen.<\/ul>\n
\n
\n