On Thu, Mar 26, 2015 at 07:24:18PM +0100, Roland Olbricht wrote: > Im Gegensatz dazu verbreitet sich mit Certificate Pinning [6] ein Verfahren, > das inhärent große Anbieter bevorzugt: man muss sich wieder mit dem > Browser-Hersteller gutstellen, damit er für die eigene Seite nur die > Zertifikate eines einzelnen Anbieters akzeptiert. In der Praxis wird das > heißen, eine Bürokratie zu durchlaufen, Geld auf den Tisch zu legen oder > eine Kombination aus beidem. Wie aussichtsreich das für die Seiten im > OSM-Umfeld ist, kann man an dem Umgang mit CACert absehen.
Certificate pinning geht wohl auf verschiedene Arten. Die einzige sichere Methode des Cert-pinnings funktioniert glücklicherweise für Jedermann und gratis: man besorgt sich den public key des Servers, verifiziert diesen manuel über einen sicheren Kanal und benutzt Programme die manuelles Certificate pinning unterstützten. Auf Anhieb fällt mir "curl --pinnedpubkey" key ein. Vorteil - man benutzt von vornherein ein selbstsigniertes Zertifikat welches nichts kostet. Im Firefox geht es im Prinzip auch (NICHT NACHMACHEN): einfach *alle* root-Zertifikate entfernen - jedesmal wenn Firefox ein neues https Zertifikat sieht wird man gefragt ob man dieses akzeptieren möchte, kann den fingerprint vergleichen usw. Funktioniert in der Praxis leider überhaupt so gut - Filterlisten- abonments vom adblocker und AJAX requests gehen meistens schief oder erfordern sehr hohen manuellen Aufwand. Trotzdem würde ich jedem Raten sich die Liste der im Browser installierten Root-zertifikate anzuschauen und radikal zu kürzen - insbesondere vor Aulsandsreisen. Jede dieser root-ca kann einem jederzeit eine falsches Zertifikat für jede beliebige Domain einspielen und in vielen Asiatischen Ländern würde ich fest damit rechnen, daß dies von den nationalen root-cas auch flächendeckend gemacht wird. Auch eine bekannte Fluggeselschaft wurde unlängst auch dabei ertappt wie sie bein in-flight Netzverbindungen gefälschte Zertifikate eingesetzt hat um den HTTPS Verkehr über proxies umzuleiten. Richard _______________________________________________ Talk-de mailing list [email protected] https://lists.openstreetmap.org/listinfo/talk-de
