Hallo,
kann man in Thunderbird 3.1 bei einer STARTTLS IMAP-Verbindung den Fingerprint des bereits akzeptierten Zertifikats anzeigen? CyberPatrol hab ich installiert. Halte ich auch für sehr sinnvoll. Aber auch damit scheint die Anzeige nicht zu funktionieren (speichert in sqlite).....
THX!
Hallo Christian,
der Fingerprint ist (bei mir) wie bei jedem anderen importierten Zertifikat im Zertifikatsmanager >> Ansehen zu sehen. Hier natürlich unter "Server".
Sowohl md5 als auch sha1, sowie sämtliche andere Daten des Zertifikates.
Ich gehe mal davon aus, dass das bei STARTTLS genau so funktioniert, wie bei dem von mir genutzten SSL. Ist ja das gleiche Prinzip.
Wozu ich auf einem Mailclient ein Programm wie "CyberPatrol" benötige, hat sich mir allerdings auch nach längerem Nachdenken nicht erschlossen.
MfG Peter
Hallo Peter,
danke für deine Antwort. Die Zertifikate habe ich inzwischen gefunden. Hatte versehentlich nicht bei Server geschaut.
CyberPatrol war ein Schreibfehler. Ich habe Certificate Patrol gemeint. Der speichert nämlich die Fingerabdrücke und vergleicht sie bei jedem Aufruf. Einem MITM wird es nicht gelingen, ein Zertifikat mit identischem Fingerprint zu präsentieren.
Hi Christian,
auch wenn meiner Erfahrung nach außer uns beiden und einer "überschaubaren Anzahl von Usern" hier im Forum nur recht wenige diese wichtige Funktion der Echtheitsprüfung kennen oder gar schätzen (einige verlangten sogar schon das Deaktivieren der "sinnlosen" Fehlermeldung bei Nicht-Übereinstimmung!), so kann das der Thunderbird, so wie jeder Browser oder sonstige Zertifikate nutzende Programme von Hause aus.
Es ist nämlich nicht der richtige Weg, einem einzigen Server- oder Nutzerzertifikat eine Ausnahmeregel zu gestatten. Dann ist es wirklich erforderlich, mit dem Fingerprint zu arbeiten - und immer wieder neue Ausnahmen hinzuzufügen wenn die Zertifikate wegen Ablauf der Gültigkeit oder vorzeitiger Sperrung oder aus anderen Gründen ersetzt werden.
Der richtige Weg ist, zuerst das entsprechende Herausgeberzertifikat des ausstellenden TrustCenters zu importieren (*) und ihm nach Überprüfung der Übereinstimmung dessen Fingerprints mit den Angaben auf der Webseite des TrustCenters bewusst das Vertrauen auszusprechen.
(*) Da das eh keiner macht bzw. für 99% der Nutzer kaum zumutbar ist, haben das die Herausgeber der entsprechenden Programme nach hoffentlich verantwortungsbewusster Überprüfung schon getan, und die entsprechenden Zertifikate der etablierten TrustCenter schon "mitgeliefert". => "Buildin Object Token". Selbstverständlich kann der misstrauische Nutzer trotzdem den Fingerprint mit dem auf der Webseite vergleichen ... .
Die eigentlichen Server- oder Benutzerzertifikate sind mit dem (privaten Schlüssel des) Herausgeberzertifikat(es) signiert. Und jedes Signatur-überprüfende Programm prüft diese Signatur der verwendeten Server- oder Benutzerzertifikat mit dem Herausgeberzertifikat. Wenn das vorgefundene Zertifikat korrekt signiert ist, dann ist alles in Ordnung.
Deshalb müssen Serverzertifikate im Gegensatz zu Benutzerzertifikaten (wegen der Verschlüsselung der Mails beim Senden) auch nicht lokal gespeichert werden. Es erfolgt automatisch bei jeder Verbindung die Signaturprüfung.
MfG Peter
Peter, wenn ich die SSL-Geschichte richtig verstanden habe, käme standardmäßig keine Warnung, wenn das geänderte Zertifikat des Servers plötzlich von einer anderen bekannten CA unterschrieben wäre. Sich der Fingerprint also auf jeden Fall geändert hätte. Zum Beispiel auch Comodo. Außerdem gibt es doch auch so eine Art Wildcard-Zertifikate, die man für teures Geld kaufen kann und dann selbst fleißig signieren. Wie hießen die richtig?
PS: intermediate CAs hab ich gemeint...
Ja, das "Comodo-Argument" habe ich die ganze Zeit erwartet ... .
Ja, so etwas passiert in Zeiten wo es nur nach "Geiz ist geil" geht. Wenn ein externer Dienstleister von außerhalb direkt auf die CA durchgreifen kann und ohne Mitwirkung und Kontrolle durch das ausstellende TrustCenter "echte" Zertifikate auf der Grundlage gefaketer Registrierungen erzeugt.
Echte Sicherheit kostet Geld. Und wenn man zu Ungunsten der Sicherheit am Geld spart, passieren derartige Sachen. Klar, dass jetzt das Vertrauen in unsere Branche erst mal am Boden ist. Ich kann das verstehen.
Aber ich weiß auch, dass es TrustCenter gibt, wo jeder einzelne von externen Mitarbeitern registrierte (= Personenidentifizierung, einschließlich Ausweiskopie und Unterschrift im 4-Augen-Prinzip) Antrag in der Zentrale noch einmal akribisch geprüft wird und erst dann ins System eingespielt wird. Genau das ist die Ursache, warum sauber hergestellte Zertifikate eben endsprechend teuer sind.
QuotePeter, wenn ich die SSL-Geschichte richtig verstanden habe, käme standardmäßig keine Warnung, wenn das geänderte Zertifikat des Servers plötzlich von einer anderen bekannten CA unterschrieben wäre.
Genau.
Jeder Serverbetreiber hat das Recht, zum Bsp. nach Ablauf seines Serverzertifikates sich bei einem anderen Anbieter ein neues Zertifikat zu kaufen. Wenn diese dann von einem als vertrauenswürdig eingestuften ("Buildin Object Token" oder bewusst manuell importiert) TrustCenter stammen, bemerkst du davon nichts. Warum auch? Es greift das gleiche Prinzip.
Nachtrag:
Ich habe mir das Add-on "Certificate Patrol" mal angesehen. Es sieht wirklich gut aus. Und es ist sehr schade, dass derartige Add-ons heutzutage "erforderlich" sind. Die Ursache habe ich oben beschrieben.
Allerdings bezweifele ich, dass "Nutzer" den damit bezweckten zusätzlichen Schutz überhaupt erreicht. Ich kann mir einfach nicht vorstellen, dass dieser bei jeder Warnung wegen eines veränderten Fingerprint jedesmal die Webseite des Serverbetreibers aufsucht, um dort nach dem Fingerprint zu suchen und dann diesen mit dem angezeigten vergleicht. Das macht (auf Dauer) niemand! Und sollte es wirklich noch einmal jemand schaffen, den "Comodo-Trick" anzuwenden, dann bekommst du es ja eh nicht mit.
MfG Peter
Das ist interessant. Ich war bisher immer der Meinung, dass auch die großen teuren Zertifikat-Anbieter bestenfalls die E-Mailadresse kontrollieren. Meinst du es wäre sinnvoll, nur die großen im Browser gespeichert zu lassen und die kleinen rauszuwerfen?
Ich werde die Fingerprints in Zukunft prüfen. Dass das die üblichen DAUs nicht machen, ist klar.
Der war gut:
QuoteDas ist interessant. Ich war bisher immer der Meinung, dass auch die großen teuren Zertifikat-Anbieter bestenfalls die E-Mailadresse kontrollieren.
§5 SigG: (aus dem Kopf zitiert)
Der Zertifikatsdiensteanbieter (ZDA) hat ... Antragsteller sicher zu identifizieren.
§ ?? SigVO:
Die Identifizierung hat persönlich und mit einem gültigen Lichtbildausweis (PA oder Reisepass EU+Meldebescheinigung nicht älter als ...) zu erfolgen.
Bei Verstößen wird dem ZDA ein Bußgeld in Höhe von 10.000 €nen angedroht! (Wenn die Identifizierung nicht, nicht ausreichend oder nicht rechtzeitig erfolgt.)
Bei Serverzertifikaten muss sich der dazu berechtigte Mitarbeiter der Firma (Plüschetage!) neben seinem PA auch noch mit einem notariell beglaubigten Handelsregisterauszug ausweisen. Es muss eindeutig hervorgehen, dass diese Firma eben genau diesen Server betreibt.
Den ganzen Papierkram muss ein TrustCenter bis 30 Jahre nach Ablauf des Zertifikates unter hochsicheren Bedingungen nachweisfähig aufbewahren. Damit ist gemeint: kein Feuer, kein Wasser, keine papierfressenden Mikroorganismen oder gar Mäuse, keine unerwünschten "Besucher", Gaslöschanlage .... und schöne dicke Türen die sich nur durch zwei (!) Personen gleichzeitig mit ihren Chipkarten und Zugangscodes öffnen lassen. Und unter gleichen Bedingungen werden auch die völlig autonomen Server gehalten. Auch die müssen bei Feuer im Serverraum in ihren Panzerschränken 90 Minuten aushalten können. Dafür gibt es entsprechende Schränke, auch wieder mit interner Gaslöschanlage und extrem dick gegen Feuer isolierten Kabeln ... . (Kannst du alles in Dokumenten im Internet finden, ist also kein Geheimnis.)
Und all das zusammen ist der ehrliche Grund, warum "die Dinger" so teuer sind. Günstiger werde sie nur bei entsprechender Massenproduktion.
Und dann geht das ganze erforderliche Vertrauen flöten, weil "Geiz ist geil" => siehe mein obiger Beitrag.
MfG Peter
Quote from "Peter_Lehmann"§5 SigG: (aus dem Kopf zitiert)
Der Zertifikatsdiensteanbieter (ZDA) hat ... Antragsteller sicher zu identifizieren.
Wusste nicht, dass das tatsächlich so genau kontrolliert wird. Wieder etwas gelernt. Danke.
Ich will auch so eine schicke CA. Dann verkaufe ich auch keine alten Autos. Versprochen.
Ich find's nur schade, daß das ..
Quote from "chris2009"
..nicht geklappt hat. Der Bugzilla-Eintrag ist köstliche Realsatire.
Gruß, muzel
