Kurz: Gibt es vernünftige Alternativen zu SSL? Lang: 1. SSL ist nur so sicher wie den CA denen man vertraut: http://www.heise.de/security/meldung/Protokoll-eines-Verbrechens-DigiNotar-Einbruch-weitgehend-aufgeklaert-1741726.html http://www.heise.de/security/meldung/SSL-GAU-Ein-Angriff-im-Cyberwar-1213999.html Jeder kann sich die Liste denen er im Browser vertraut ansehen: Einstellungen→Erweitert→Zeige Zertifikate In der Liste findet man im Firefox auch die Telekom, den Sparkassen Verlag oder Vodafone. 2. Dann gibts das Problem, dass SSL-Zertifikate fast immer einiges an Geld kosten, obwohl die Zertifikate oft automatisch generiert werden. (ja ich kenne startssl, deswegen das "fast"; bei Subdomains müsste ich aber auch wieder was zahlen) 3. Man hat auch Schwierigkeiten wenn man sich den Server mit anderen teilt und keine eigene IP hat. (http://de.wikipedia.org/wiki/Server_Name_Indication) 4. Ist jetzt kein direktes SSL-Problem: Wenn der Betreiber eines Shared-Hosting-Dienstes ein Wildcard-Zertifikat bereitstellt, passt das natürlich nicht mehr zu eigenen Domains und alle Browser zeigen Warnungen: *.example.com (Betreiber) meine Seite wäre unter troll.example.com (vom Betreiber) und example.net (eigen) erreichbar. Für example.net würde die Warnung kommen, da andere Domain. Problematisch hauptsächlich für Leute die Addons wie HTTPS-Finder nutzen. ------------------ Eine Alternative die ich gefunden habe, wäre das Zertifikat im DNS zu speichern. Allerdings ist die Unterstützung der Browser wohl noch sehr gering und auch DNSSEC braucht noch einige Zeit. http://www.ceilers-news.de/serendipity/154-Alternativen-zum-SSL-CA-Zertifizierungssystem.html Gäbe es noch weitere wie die Public-Key-Authentifizierung bei SSH?
Troll schrieb: > 1. SSL ist nur so sicher wie den CA denen man vertraut: Stimmt nicht, du kannst jederzeit alle RootCAs deaktivieren und auf einem "sicherem Kanal" den Hash des Servers von jedem mit dem du in Kontakt treten willst übermitteln lassen, CA haben nix mit der Sicherheit zu tun sondern nur mit der Bequemlichkeit. Troll schrieb: > 2. Dann gibts das Problem, dass SSL-Zertifikate fast immer > einiges an Geld kosten, Ist kein echtes Problem, ansosnten: SelfSigned und weiteres Vorgehen s.o. Troll schrieb: > Man hat auch Schwierigkeiten wenn man sich den Server > mit anderen teilt und keine eigene IP hat Scheinbar schaffen das hunderttausende ohne das sie ein "Problem" damit haben, außerdem hätte man mit einem alternativen Verfahren ein ähnliches... Troll schrieb: > 4. Ist jetzt kein direktes SSL-Problem Sondern falsch konfiguriert, entweder zwei Zertifikate oder einfach von der einen Domain grundsätzlich auf die andere Umleiten. Troll schrieb: > wie die Public-Key-Authentifizierung bei SSH Wie sollte so was das Problem lösen? Das ist dort genauso wie bei SSL, siehe erste Anmerkung.
Man kann NoSSL verwenden. Das ist kostenlos und open-source. Es funktioniert prima, um einfache Login-Formulare oder Kontakt-Formulare zu schützen. Einziger Nachteil ist, dass es nicht gegen man-in-the-middle attacks schützt. Wir denken aber, dass man sich 99,9% der Hacker vom Leib halten kann damit...
Das ist ja mein alter Thread. :) Läubi .. schrieb: > Stimmt nicht, du kannst jederzeit alle RootCAs deaktivieren und auf > einem "sicherem Kanal" den Hash des Servers von jedem mit dem du in > Kontakt treten willst übermitteln lassen, CA haben nix mit der > Sicherheit zu tun sondern nur mit der Bequemlichkeit. Witzbold. Soll ich jetzt bei allen Seiten anrufen und mir die Zertifikate durchgeben lassen? CA haben massiv was mit der Sicherheit zutun. Sie sind leider Standard bei SSL. Auch nett: http://www.heise.de/security/meldung/Ein-Drittel-aller-Zertifikats-Herausgeber-nur-Security-Ballast-2139451.html Läubi .. schrieb: > Ist kein echtes Problem, ansosnten: SelfSigned und weiteres Vorgehen > s.o. Doch ein Problem. Die akzeptiert normal gar keiner. Läubi .. schrieb: > Scheinbar schaffen das hunderttausende ohne das sie ein "Problem" damit > haben Das Problem macht wie immer unser aller Liebling: Internet Explorer. http://uberspace.de/dokuwiki/webserver:https#server_name_indication_sni Smart Media schrieb: > Man kann NoSSL verwenden. Werde ich mir mal anschauen. Zwischenzeitlich habe ich mich aber erstmal für CACert entschieden. Haben zwar die meisten Browser auch nicht drin, aber besser als nichts.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.