Zertifikate

19/02/2015 - 19:10 von Anton Bayer | Report spam
Angesichts eines aktuellen SPON-Artikels
(http://www.spiegel.de/netzwelt/gadg...19312.html)
stellt sich mir die Frage, zu was mein Browser eigentlich Dutzende von
Zertifikaten braucht von Websites oder Organisationen, die ich nicht kenne
und auch eigentlich auch nie ansteuern will.

Soweit ich weiß brauche ich die Dinger für https-Verbindungen, also doch
eigentlich nur für's Online-Banking und solche Seiten, für die man sich
einloggen muß (da fàllt mir erstmal nur Online-Shopping ein) bzw. die halt
eine https-Verbindung brauchen?

Kann ich daher nicht die ganzen Zertifikate alle pauschal löschen und fragt
dann der Browser, wenn er denn eins unbedingt haben will, bei mir nach und
làdt das betreffende Zertifikat auf Anfrage?

Dann wüsste ich wenigstens, welche Zertifikate ich wirklich brauche und
woher die kommen.

Eine Zertifikatesammlung, deren Eintràge ich nicht zuordnen kann, könnte
doch auch untergeschobene Zertifikate enthalten, oder nicht? Oder hat der
Browser (hier Firefox) die Möglichkeit, solche Kuckucks-Zertifikate zu
erkennen und abzulehnen?

Fragen über Fragen.
 

Lesen sie die antworten

#1 Marcel Mueller
20/02/2015 - 01:00 | Warnen spam
On 19.02.15 19.10, Anton Bayer wrote:
Angesichts eines aktuellen SPON-Artikels
(http://www.spiegel.de/netzwelt/gadg...19312.html)

stellt sich mir die Frage, zu was mein Browser eigentlich Dutzende von
Zertifikaten braucht von Websites oder Organisationen, die ich nicht
kenne und auch eigentlich auch nie ansteuern will.



Schmeiß' sie halt raus.

Soweit ich weiß brauche ich die Dinger für https-Verbindungen, also doch
eigentlich nur für's Online-Banking und solche Seiten, für die man sich
einloggen muß (da fàllt mir erstmal nur Online-Shopping ein) bzw. die
halt eine https-Verbindung brauchen?



Google, Fratzenbuch, und etliche weitere Seiten wàren da auch noch zu
nennen.

Kann ich daher nicht die ganzen Zertifikate alle pauschal löschen und
fragt dann der Browser, wenn er denn eins unbedingt haben will, bei mir
nach und làdt das betreffende Zertifikat auf Anfrage?



Kannst Du. Allerdings wirst Du völlig außer Stande sein, eine sachlich
begründete Entscheidung im Einzelfall zu treffen.
Da die Zertifikate auch regelmàßig ablaufen, ist es mit der einmaligen
Ausnahme nicht getan. Ein abgelaufenen Zertifikat wàre aus deiner Sicht
von einer gekaperten Bank-Seite nicht unterscheidbar, denn in beiden
Fàllen würde der Server ein neues Zertifikat liefern, was Du noch nicht
kennst. Nicht mehr und nicht weniger.
Unternehmen, die nicht auf diesen Stammzertifikaten aufsetzen, haben
zuweilen ganze Planstellen, die den ganzen Tag nichts anderes machen,
als Zertifikate verwalten, verteilen und erneuern.


Dann wüsste ich wenigstens, welche Zertifikate ich wirklich brauche und
woher die kommen.



1. ja, 2. nein. Woher willst Du wissen, woher die wirklich kommen?
Von der Seite, von der sie gerade heruntergeladen wurden, schon klar.
Aber ob die gerade echt ist, wirst Du nicht erfahren.


Eine Zertifikatesammlung, deren Eintràge ich nicht zuordnen kann, könnte
doch auch untergeschobene Zertifikate enthalten, oder nicht?



Ja.

Oder hat
der Browser (hier Firefox) die Möglichkeit, solche Kuckucks-Zertifikate
zu erkennen und abzulehnen?



Nein.


Zertifikate, die auf Vertrauensketten beruhen, wie die derzeitigen X509
Dinger, sind prizipsbedingt anfàllig gegen Kompromittierung an jedem
Kettenglied. Sie bieten daher nur begrenzte Sicherheit gegen bestimmte
Angriffsszenarien. Sie sind aber definitiv besser als Nichts und mangels
etablierter Alternativen immer noch das Mittel der Wahl.

Zusàtzliche, installierte Stammzertifikate unterscheiden sich in nichts
von anderer Installierter Software. Auch die könnte ein Trojaner sein.
Muss sie aber nicht. Insofern solle man da ebenso wie bei installierter
Software die Hütte so gut es geht sauber halten, um das Risiko zu
minimieren.


Marcel

Ähnliche fragen