this post was submitted on 10 Nov 2023
36 points (100.0% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

[email protected]

[email protected]

[email protected]

[email protected]

founded 1 year ago
MODERATORS
 

Eine spannende, aber traurige Entwicklung. Von dem Wallet-Aspekt abgesehen ist ein kritischer Aspekt auch der Teil mit den QWACS-Zertifikaten, deren Berücksichtigung von Browsern verpflichtend umzusetzen ist.

Wie soetwas z.B. von Strafverfolgungsbehörden für Man-in-the-Middle-Angriffe ausgenutzt werden kann, sieht man z.B. hier angedeutet. Ist recht technisch, aber meinem Verständnis nach wurde auf polizeiliche Anordnung einem Hetzner-Kunden ein Proxy untergejubelt. Dies kam aufgrund des im Browser als ungültig/abgelaufen angezeigten Zertifikates aber raus.

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 5 points 1 year ago* (last edited 1 year ago) (1 children)

Kann mir jemand die technische Seite erklären, warum staatliche Root-Zertifikate besser zum Ausspähen geeignet sind als privatwirtschaftliche? Denn jede Firma kann man am Ende unter Druck setzen um an Schlüssel zu kommen und die werden das nicht an die große Glocke hängen (dürfen). An den grundlegenden genutzten Verschlüsselungstechniken ändert sich erstmal nichts.

Der verlinkte Artikel zeigt auch, dass es durchaus nicht so schwer ist, gesicherte Verbindungen zu brechen, auch ohne Wissen der Admins auf der anderen Seite.

[–] [email protected] 2 points 1 year ago

Ich kann bzw. werde nur zu dem zweiten Punkt etwas sagen. Hier wurde ja keine kryptografische Verschlüsselung "gebrochen", sondern es wurde eine Umleitung (der "Man in the middle") eingeführt, eingehende Daten vom Client (Nutzer) mitgeschnitten und an den Server weitergeleitet.

Das können sowohl Nutzer als auch Serveradmins merken, theoretisch. Nutzerseitig geht man im Moment eben noch davon aus, dass nur solche CAs vom Browser als Vertrauenswürdig eingestuft werden, die bestimmte Mindestkriterien erfüllen. Das ist heute bereits nicht perfekt, wie etwa hier dazu angemerkt wurde.

Aber zumindest ist es nach heutigem Stand für diese CAs verpflichtend, dass sie sich an den "Certificate Transparency Log"-Standard halten. Ungewöhnliche Logeinträge haben die Server-Admins in dem verlinkten Artikel auch bemerkt und auf crt.sh verwiesen, sie hatten aber kein automatisches Monitoring dafür.

Wenn man eine Domain verwaltet, kann man nach unauthorisiert ausgestellten Zertifikaten Ausschau halten. Das kann man entweder selbst irgendwie implementieren. Oder man nutzt halt vorhandene Dienste wie hier beschrieben, bei welchen man automatisch alarmiert wird.