[Erledigt] DigiNotar-Zertifikate ....

  • sind trotz jüngstem Update (09.09.2011) beim Donnervogel und beim Feuerfuchs in der Liste zu finden.


    Hallo Donnervogel-Sicherheits-Experten,


    sollten die nicht eigentlich entfernt sein? :nixweiss:


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Einmal editiert, zuletzt von Feuerdrache ()

  • Hallo,
    laut Release Notes sind die Zertifikate zurückgezogen (revoked), also noch vorhanden, aber nicht mehr verwendbar. Da ich auch nicht genau weiß, wie man das erkennt, habe ich mal beim 3.6.22er FF nachgesehen, und dort wird für alle Diginotar-Zertifikate angezeigt "Konnte aus unbekannten Gründen nicht verifiziert werden" - was man als "unbrauchbar" übersetzen könnte (hoffe ich ;) ).
    Gruß, muzel

  • "muzel" schrieb:

    ..., und dort wird für alle Diginotar-Zertifikate angezeigt "Konnte aus unbekannten Gründen nicht verifiziert werden" - was man als "unbrauchbar" übersetzen könnte (hoffe ich ;) ).
    Gruß, muzel


    Hallo muzel,


    dann hoffe ich, dass Dein Hoffen richtig ist! ;) Aber eigentlich: :mrgreen: ist die Hoffnung!


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Bei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird. Allerdings kann den root CAs das "Vertrauen" entzogen werden, was auch bei DigiNotar passiert ist. Zu sehen wenn man die CA Zertifikate anklickt und "Vertrauen bearbeiten" auswählt, es sollte keiner der drei Punkte mehr aktiviert sein. In dieser Form werden übrigens auch die eingebauten CAs behandelt wenn sie vom Benutzer gelöscht werden.

  • Hallo andihoe,



    Zitat

    Bei Thunderbird (und Firefox BTW) sind die mitgelieferten root CAs wohl "fest eingebrannt" damit eine Fälschung erschwert wird.


    Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").


    Um mit Zertifikaten die Echtheit einer signierenden Person (=> S/MIME) oder eines Servers (=> TLS/SSL) überprüfen zu können, muss <user> zuerst dem ausstellenden TrustCenter sein Vertrauen schenken. Dazu geht <user> auf die Webseite des Herausgebers, holt sich dort zumindest den Fingerprint des Herausgeberzertifikates (oder das Zertifikat selbst) und vergleicht diesen mit dem installierten Zertifikat bzw. installiert dieses. Mit dem bewussten Aussprechen des Vertrauens setzt <user> den so genannten Vertrauensanker, was bedeutet, dass er automatisch jedem Zertifikat vertraut, welches dieses TrustCenter ausstellt.


    Ich gebe zu, das machen Leute wie ich, aber ONU ist das einfach nicht zuzumuten.
    Deshalb - und nur deshalb - übernehmen diese Aufgabe die Produzenten diverser Browser, Mailclients und anderer Zertifikate nutzender Software. Wir gehen davon aus, dass sie dieses nach besten Wissen und Gewissen tun. In (nennenswerten) Firmen wird auf diese Art und Weise zum Bsp. firmenintern das Herausgeberzertifikat des hauseigenen TrustCenters verteilt.
    Es handelt sich also mehr oder weniger um ein Entgegenkommen der Entwickler gegenüber dem User. Keinesfalls um eine Erhöhung der Sicherheit.
    Letzteres wird ja auch bestätigt durch die Vorkommnisse, die in den letzten Wochen bei einigen TrustCentern geschehen sind. Ignoranz, Schlamperei und "Einsparungen" haben dazu geführt, dass bei einigen wenigen TC Manipulationen vorgenommen werden konnten.
    Aber das wissen wir ja nun mittlerweile ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    Hallo andihoe,



    Ja, das könnte man annehmen - ist allerdings Blödsinn (sorry: => "nicht ganz zutreffend").



    War wohl nicht eindeutig von mir formuliert: Mit "fest eingebrannt" ist die Tatsache gemeint das die rootCA nicht in einer vom Endnutzer änderbaren Datei vorliegen, sondern eben im Executeable enthalten sind. Die Vertrauenseinstellung ist natürlich wie beschrieben änderbar und der Grund warum diese CAs "mitgeliefert" ist mir auch klar. Das "Fälschung erschweren" bezieht sich auch nur auf den Auslieferungszustand bzw. die enthaltenen root CAs und nicht auf Zertifikate oder der Vertrauenskette an und für sich.


    Gruß


    Andreas