Kategorien
Blog

Certificate Pinning funktioniert nicht

Wenn Webseiten verschlüsselte Verbindungen benutzen (https), dann wird zu Beginn des Kontakts dem Browser vom Server ein Zertifikat gezeigt, mit dem der Server versichert, dass er auch der richtige Server ist (und nicht irgendein Angreifer, der auf der Leitung steht). Die Ausstellung und Überprüfung dieser Zertifikate folgt einem hierarchischen Ansatz („X.509“), und die Liste der als vertrauenswürdig betrachteten Herausgeber sieht gar nicht so vertrauenswürdig aus, wie man sich das wünschen würde (siehe hier). Es gab immer wieder Fälle, in denen sehr neugierige Menschen sich von einer der zwielichtigeren Zertifizierungsstellen der Liste ein Zertifikat für eine bekannte Webseite organisiert haben. Sie konnten dann alles mithören ohne dass den Benutzern aufgefallen wäre, dass sie nicht direkt mit z.B. Google reden.

Eine Gegenmaßnahme für dieses Problem ist das Certificate Pinning: der Browser merkt sich für alle Webseiten, mit denen er sich schon einmal verbunden hat, das Zertifikat und schlägt Alarm, wenn ihm später ein anderes vorgezeigt wird (funktioniert natürlich nur unter der Annahme, dass die Verbindung nicht schon von Anfang an infiltriert ist, aber das nehmen wir einfach mal an).

Genau zu diesem Zweck habe ich jetzt ein paar Monate lang das Firefox-Plugin Certificate Patrol benutzt. Das Plugin funktioniert auch super, aber es bringt trotzdem keinen Sicherheitsgewinn.

Das liegt daran, dass viele größere Webseiten ihre Daten über Content Delivery Networks ausliefern, und dass die es mit den Zertifikaten nicht so genau nehmen: die über die ganze Welt verteilten Server, die Dateien für dieselbe Webseite ausliefern, scheinen oft jeder ein anderes Zertifikat zu benutzen.

Certificate Patrol bietet sogar noch die Möglichkeit, nicht schon bei einem bloßen Zertifikatswechsel zu warnen sondern erst dann, wenn das geänderte Zertifikat auch von einem anderen Herausgeber stammt, aber selbst diese geringe Integritätsbedingung halten viele CDNs nicht ein.

Wenn ich also mit Certificate Pinning im Web unterwegs bin, muss ich ununterbrochen Warnmeldungen lesen und wegklicken, lesen und wegklicken, lesen und wegklicken, und irgendwann nur noch wegklicken…

Ich werde deshalb Certificate Patrol wieder deinstallieren, denn wenn es mich irgendwann mal vor einem tatsächlichen Lauschangriff warnen würde, würde ich es wahrscheinlich nicht einmal lesen. 🙁

Kategorien
Blog

Firefox Download Day morgen

Endlich genaueres:

Nicht vergessen! Nehmen Sie am Firefox „Download Day“ teil!

Markieren Sie sich diesen Tag im Kalender, machen Sie sich einen Knoten in Ihr Taschentuch oder schreiben Sie sich einen kleinen gelben Notizzettel. Der „Download Day“ wird am 17. June 2008 stattfinden.

Wollen Sie keine weiteren E-Mails von Mozilla erhalten, können Sie Ihre Daten hier löschen.

Der Sender dieser E-Mail ist die Mozilla Corporation, 1981 Landings Drive, Bldg. K, Mountain View, CA 94043-0801.

So holprig kling sonst nur Spam 😉

Nachtrag , 17. Juni:

Die Angaben waren etwas ungenau. Gemeint ist „heute“, also der 17. ab 10 Uhr PDT, das ist 19:00 in Deutschland. Ab da läuft der Rekordversuch 24 Stunden.

Kategorien
Blog

Firefox Download Day am … äähm … demnächst

Die Firefox-Jungs bei Mozilla haben offensichtlich große Server und eine richtig fette Leitung ins Internet, und die wollen sie jetzt unbedingt mal richtig austesten. Sobald Firefox 3.0 fertig ist wird deshalb der Weltrekord „meiste Downloads innerhalb 24 Stunden“ angestrebt. Da bin ich gerne zu helfen bereit, denn ich brauche mindestens je einmal die Version für win32 und für MacOS X…

Wer macht mit?

Mach mit!

(via Rivva)