Comments on: adminlife.net – We care for your security!

By: Patrick Rauscher

Patrick Rauscher — Sun, 16 Mar 2008 16:22:43 +0000

Wenn du das ganze in einen Block packst, brauchste auch deine RewriteCond net!

RewriteEngine On RewriteRule ^(.*)$ https://%{SERVER_NAME}$1 [L,R]

By: matthias

matthias — Thu, 13 Mar 2008 06:06:38 +0000

Für den Apache ist das eine RewriteRule im vHost, der auf Port 80 lauscht:
RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^/(.*) https://%{SERVER_NAME}/$1 [L,R]

By: Patrick Rauscher

Patrick Rauscher — Wed, 12 Mar 2008 20:18:42 +0000

Ich misch mich hier nochma ein… Wie hastes denn eingestellt, dass man von http://www.adminlife.net automatisch auf die ssl-Version umgeleitet wird?
Ich will sowas nähmlich, jetzt wo ich nen CaCert-Zertifikat hab, auch einstelln, hauptsache die Verbindung is verschlüsselt XD

By: matthias

matthias — Mon, 22 Oct 2007 13:23:04 +0000

Ja genau, ich wollte diese nervigen Nag Screens im Browser vermeiden. Nicht viele haben die CaCert Stammzertifikate im Browser installiert. Da hätte ich dann ja fast genauso gut ein stinknormales selbstsigniertes Zertifikat nehmen können.

Daher ein paar Euros für ein Class 1 Zertifikat hingeblättert

By: Stevie

Stevie — Mon, 22 Oct 2007 12:52:50 +0000

@Cryptonic:

Das gilt aber nur für den Fall, dass das CA-Zert in deinem Browser als vertrauenswürdige CA installiert ist.

Ist die nicht der Fall, wirft der Browser eine Fehlermeldung ÃƒÂ¡ la “gültiges Zert aber fremde CA”. Dann lieber doch Geld für ein Cert von GoDaddy und Co. bezahlen und dafür die User nicht mit einer Fehlermeldung bzw. Abfrage verwirren.

Just my 3 cents

By: Cryptronic

Cryptronic — Mon, 22 Oct 2007 12:41:04 +0000

Das klingt ja alles schön und gut, aber prinzipiell reicht meiner Ansicht nach auch immer noch CaCert Zertifikate. Das Prinzip von denen ist auch nicht von schlechten Eltern und macht die Website meiner Ansicht nach genauso sicher wie ein Class 1 Zertifikat.

just my 2 cents

By: Stefan

Stefan — Sat, 20 Oct 2007 17:24:40 +0000

https://bugzilla.mozilla.org/ -> report a bug -> enhancement (müßte gehen, aber du brauchst einen Account)
“request for new feature with ssl” oder so erstellen und dort mal anfragen.
Vielleicht vorher mal suchen, warum das nicht so gemacht wird?!

By: matthias

matthias — Fri, 19 Oct 2007 18:54:45 +0000

Class 1 Zertifikate generell als unsicher einzustufen, halte ich für falsch. Schließlich erhöhen sie ja auch die Sicherheit einer Seite: Man weiß, dass die Domain die vorgegeben Domain ist (es sei denn, der Key wurde auf einem geknackten Server eingespielt und mittels eines geknackten Mail Accounts bestätigt worden – das halte ich aber für ziemlich unwahrscheinlich). Und natürlich wird die Client-Server-Kommunikation verschlüsselt.

Jedoch wäre es angebracht, dass SSL Symbol im Browser abzuändern. z.B. verschieden Vertrauenseinstufungen – von hoch (Class3/4) bis niedrig (Class1).

Ein Tool, das diese Aufgabe übernimmt bzw. warnt, wenn sich die Stufe eines Zertifikats ändert, kenne ich auch nicht. Generell wäre soetwas aber als Standardfunktionen in Browsern zu begrüßen.

By: Stevie

Stevie — Fri, 19 Oct 2007 18:22:40 +0000

@Wer tut das schon?

Klar, das habe ich ja auch im ersten Comment bereits gesagt. Ich wollte ja mit dem Beispiel ja nur klarstellen, welchen Vorteil ein C3-Zert hätte.

Die Tatsache, dass aber selbst ich bei einem in dieser Form durchgeführtem Angriff hinters Licht geführt werden würde zeigt, dass meine Browser-Einstellungen nicht gut genug sind. Theoretisch müssten man die C1-CA-Zerts rauswerfen, um diese Problematik zu umgehen.

Dann würde ich aber hier zB einen Fehler erhalten.

Alternativ müsste man die Fingerprints pro Site irgendwie freezen können, um bei Veränderungen benachrichtigt zu werden. Gibts da was?

By: matthias

matthias — Fri, 19 Oct 2007 17:38:20 +0000

Wenn der Request auf eine andere IP umgeleitet wird, ist dies doch irrelevant. Vorher war ein Class3 Cert, danach auf der gefälschten Seite ein Class1 Cert. Man würde also nicht unbedingt den Unterschied merken, wenn die Seite komplett gefälscht wäre und sich der Bösewicht die Mühe gemacht hätte, ein Class1 Zertifikat zu beschaffen und zu installieren.
Man würde den Unterschied nur merken, wenn man jedes Mal das Zertifikat überprüft. Aber mal ehrlich: Wer tut das schon?

By: Stevie

Stevie — Fri, 19 Oct 2007 16:39:36 +0000

Da muss ich dir wiedersprechen, denn: Das Class 3 Zert bekommt ja nur nachgewiesenermaßen der WIRKLICHE Eigentümer der Domain. Sollte mir also auf der von mir besuchten Webseite das C3-Zert angezeigt werden, kann ich davon ausgehen, dass ich wirklich auf der richtigen Seite bin.

Bekomme ich stattdessen das C1-Zert angezeigt, kann ich auf einer Seite sein, die von jemanden, der (zeitweise) Zugriff auf dein Mailkonto hatte, aufgesetzt wurde.

By: matthias

matthias — Fri, 19 Oct 2007 14:38:43 +0000

Das kann dir aber auch passieren, wenn auf der echten Seite ein Class 3 Zertifikat installiert ist und auf der Fake Seite ein Class 1 Zertifikat. Du prüfst ja nicht bei jedem Seitenaufruf, ob sich das Zertifikat geändert hat, oder?
Also ist somit in dem Fall ein Class 3 Zertifikat nutzlos…

By: Stevie

Stevie — Fri, 19 Oct 2007 13:41:19 +0000

Ja, ich weiß. (Aber nach soviel Klugsch… meinerseits hab ich ja auch eine Belehrung verdient)

Es wäre aber z.B. ein DNS-Angriff möglich (Poisoning), der meine Request von http://www.adminlife.net auf einen anderen Server umleitet und mir dies, vor allem durch das installierte Zertifikat, verschleiert wird. (Der Browser prüft ja nur die Übereinstimmung von aufgerufener Adresse und dem CN im Zert).

By: matthias

matthias — Fri, 19 Oct 2007 13:33:32 +0000

(Fast) Genauso ist es. Class 1 reicht für einfache Anwendungen (evtl. noch für Webmail…). Für Webshops sollte man unbedingt Class 3 nehmen.

Den Usern ist es eh egal, die merken es nicht und kennen wohl auch nicht den Unterschied zwischen Class 1 und Class 3. Höchstens selbstzertifizierte oder abgelaufene Zertifikate, die der Browser anmeckert, werden in ihm Zweifel aufrufen.

Aber eins stimmt nicht ganz: Ein Zugriff auf die Mailbox reicht nicht. Das Zertifikat muss ja auch noch installiert werden auf dem betreffenden Webserver. Also muss der Bösewicht auch noch Zugriff auf den Webserver haben (oder zwischen der Verbindung von Client und Server hocken und dir sein eigenes Zertifikat unterjubeln).

By: Stevie

Stevie — Fri, 19 Oct 2007 12:32:07 +0000

So, ich weiß nun also, dass ich gerade auf einer Seite bin, die nachweislich von jemandem installiert wurde, der Zugriff auf die in dem WHOIS-Eintrag gelistete Mailadresse hat.

Das heißt, wenn ich den Fähigkeiten des Admins vertraue (dass er also nur selbst Zugriff auf seine Mailbox hat), dann ist das Zertifikat etwas wert. Kenn ich den Admin nicht, hab ich zwar eine verschlüsselte Übertragung zwischen dem Server und mir, weiß aber nicht WER die Daten dann wirklich bekommt – denn das Zertifikat wurde ja an den jenigen ausgeliefert, der die godaddy-mail lesen kann.

Für einen Blog und normale Webseite ist diese Art Zertifikat sicherlich ausreichend. Sollte man aber einen Webshop betreiben, sein Webmail oder andere vertrauliche Applikationen via SSL absichern wollen, wäre eigentlich ein Class 3-Zert unumgänglich.

Aber machen wir uns nichts vor: Die Nutzer schauen, wenn überhaupt, darauf ob “das Schloss in der Fußzeile ist” und damit haben sie genug gecheckt. Traurig, aber wahr. Ein Class 3-Zert ist demnach so gut wie unnötig, so lange man ein Class 1-Zert hat, dessen CA gut unterstützt wird.

By: Stefan

Stefan — Thu, 18 Oct 2007 20:04:29 +0000

Juhuu