Sicherheit durch SSL-Zertifikate

Ähnliche Dokumente
Digitales Zertifikat für die Authentifizierung

SSL Sicherheit. Hinweise zur Sicherheit der SSLverschlüsselten Rainer Meier Mühlistr Schongau skybeam@skybeam.ch.

netbanking Sicherheit Sicherheitszertifikat

Produktbroschüre SSL Zer'fikate für ebusiness, Exchange, Cloud u.v.m.

Hinweis auf ein Problem mit einem Sicherheitszertifikat einer Webseite

Sicherheitszertifikate der DKB AG und ihrer Partner

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Neues aus der DFN-PKI. Jürgen Brauckmann

Verteilte Systeme Unsicherheit in Verteilten Systemen

Verteilte Systeme. Übung 10. Jens Müller-Iden

COMPUTER MULTIMEDIA SERVICE

Ein Überblick über Security-Setups von E-Banking Websites

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Secure Socket Layer (SSL) - Zertifikate

Inhaltsverzeichnis. Bank Thalwil Genossenschaft Version vom , Seite 1/19

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Factsheet Extended Validation (EV) SSL Zertifikate

Deutsche Mailanbieter sichern Daten ihrer Kunden besser

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Der Netzwerk Insider Systematische Weiterbildung für Netzwerk- und IT-Professionals

1. Zugriff auf das Lonza Netzwerk von ihrem privaten PC oder von einem Internet Café

Web-Browser. 1. Überblick

Konfigurationsanleitung zu Siedl Networks Zarafa Demo Server

Anleitung zur Konfiguration Ihres Browsers

Fragen & Antworten. Zugang beantragen Zertifikate installieren Hotline

SSL/TLS-VERBINDUNGEN ZU MOODLE

SSL/TLS-VERBINDUNGEN ZU DIENSTEN IM KVFG NETZ

Browser Einrichtung myfactory

Public Key Infrastructure https-smtps-pop3s etc Ver 1.0

Browser-(Un)Sicherheit Ein buntes Programm

GRAFIK WEB PREPRESS

Hilfe zur Anforderung eines Zertifikates. Stand November 2014

Sichere -Kommunikation mit fat

Archiv. Verwendung von Mail-Zertifikaten

Erste Schritte mit SSL-Zertifikaten

Leitfaden für die Erstregistrierung am BellandVision-Entsorgerportal

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Beteiligte Komponenten bei SET Transaktionen (Teil 1)

Archiv. Zum Vergrößern auf das Bild klicken.

Erstellen sicherer ASP.NET- Anwendungen

Verschlüsselte s: Wie sicher ist sicher?

Einfach Online Arbeiten 2015 am 22. und

IntelliShare -Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit.

Informationen zur sicheren -Kommunikation. Unternehmensgruppe ALDI SÜD

Stärkeres Nutzervertrauen durch verläßliche Organsationsidentitäten. Arno Fiedler (TeleTrusT e. V)

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Kombinierte Attacke auf Mobile Geräte

BAYERISCHES STAATSMINISTERIUM DES INNERN

Root-Zertifikat der SLGB CA in den Browser importieren

IIS Zertifikat Import um den Zertifizierungspfad sicherzustellen

Hilfestellung für den Einsatz von Facebook-Applikationen

Anlage 3 Verfahrensbeschreibung

Vodafone Cloud. Einfach A1. A1.net/cloud

2. Installation unter Windows 10 mit Internetexplorer 11.0

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Die Übermittlung dieses Sitzungsschlüssels erfolgt ebenfalls verschlüsselt, ist also sicher.

FINNOVA EINFÜHRUNGSCHECKLISTE (ECL) Internet-Banking

Das Favicon. Kleines Bild große Wirkung. Langner Marketing Unternehmensplanung Metzgerstraße Reutlingen

Import des Client-Zertifikats

SSL PREMIUM SSL PREMIUM. Bern, 2. Juli 2015

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012

Installation Benutzerzertifikat

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Schwachstellenanalyse 2012

Presseinformation digitale Zertifikate

s versenden aber sicher! Secure

Kontakt: Bundesdruckerei GmbH Oranienstraße 91, D Berlin Tel +49 (0) Fax +49 (0)

Installation des Zertifikats. Installationsanleitung für Zertifikate zur Nutzung des ISBJ Trägerportals

VERSCHLÜSSELUNG

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Sparkasse Jerichower Land

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Ist das so mit HTTPS wirklich eine gute Lösung?

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Google Analytics Premium FAQ

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Dashboard Vergleichen mit: ,10 % Absprungrate Besuche Seitenaufrufe

ERSTE SCHRITTE.

DOK. ART GD1. Citrix Portal

Anleitungen und Informationen zu KK-CloudServer

Löschen der temporären Internetdateien / Cache

Begreifen Cookies. Inhalt. Cookie Grundlagen Ihre Privatsphäre MS: Internet Explorer Google: Chrome Mozilla: Firefox...

Erste Schritte mit Sharepoint 2013

Willkommen zu MineralPro Version 7

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur.

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Anleitungen und Informationen zu KK-NetServer

Internet Security: Verfahren & Protokolle

-Verschlüsselung

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Gerd Armbruster

Anleitung zum Prüfen von WebDAV

Heartbleed Bug - Was ist zu tun?

Zugang - kanu-meissen.de

Wie funktioniert das WWW? Sicher im WWW

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Transkript:

Trügerische Sicherheit durch SSL-Zertifikate Relevanz ihrer Herkunft und die Konsequenzen Detlef Hastik Henry Frenz

SSL-Zertifikate als State of the Art Die Verwendung von SSL-Zertifikaten auf Webseiten und in Websystemen ist hochmodern. Kaum ein Anbieter verzichtet auf die verschlüsselte Übertragung seiner Inhalte zum Kunden bzw. vice versa. Immerhin verspricht die https-gesicherte Verbindung Privatsphäre und den Schutz vor Mitlesenden, die Daten missbräuchlich verwenden oder gar verfälscht einspielen könnten. Die Webbrowser belohnen die Verwendung von validen und aktuellen Zertifikaten beispielsweise mit einem beruhigenden grünen Adressbalken; der Nutzer fühlt sich prompt viel sicherer als auf einer ungeschützten Seite. Wie viel Sicherheit bedeutet https wirklich und wogegen schützt es? SSL basiert auf dem beliebten und als sicher geltenden Public/Private-Key-Verfahren. Der Private-Key, auch Master-Key genannt, verbleibt geschützt auf dem Server, für den das Zertifikat ausgestellt werden soll. Nur offizielle Zertifizierer können SSL Zertifikate für Webseiten ausstellen, die von den fast immer US-amerikanischen - Webbrowsern wie Chrome, Firefox, Edge, Internet Explorer oder Safari als valide akzeptiert werden. Zwar kann jedes Unternehmen und sogar Privatpersonen eigene Zertifikate ausstellen, diese werden jedoch grundsätzlich als nicht vertrauenswürdig oder sogar bösartig eingestuft. Dem unbedarften Benutzer wird empfohlen, eine solche Seite keinesfalls zu besuchen (siehe Abbildung 1). Nicht jedes SSL-Zertifikat wird als sicher eingestuft, da echte Sicherheit nur gewährleistet werden kann, wenn der Austeller des Zertifikates garantiert, dass der Master-Key keinesfalls in die Hände Dritter gelangt. Abb. 1: Warnung vor unsicherem Zertifikat in Google Chrome

Doch wer sind eigentlich diese offiziellen Zertifizierer? Mehr als 90% der im Internet verwendeten Zertifikate stammen von US-Unternehmen (vgl. Abbildung 2). Der größte Anbieter, Comodo, wirbt beispielsweise mit Creating Trust Online. Dem gegenüber steht die seit Jahren in den USA geführte Diskussion über die Legalität von Verschlüsselung und Zugriff durch die Geheimdienste. Seit Patriot Act und FISA Amendment Act wird immer wieder versucht, von US-amerikanischen Unternehmen Hintertüren für jegliche Verschlüsselung zu erzwingen, da sie sich andernfalls der Mitschuld zu verantworten haben, falls über ihre Systeme terroristische oder anderweitig illegale Kommunikatin stattfindet. Aktueller Stand ist der Compliance with Court Orders Act of 2016 2, der, falls er zum Gesetz wird, Hersteller elektronischer Kommunikationsgeräte, Software-Entwickler und Anbieter von Kommunikationsdiensten dazu verpflichtet, einem Gerichtsbeschluss zur Herausgabe von Informationen Folge zu leisten. Sollte es sich dabei um verschlüsselte Informationen handeln, muss die jeweilige Firma die Daten entweder entschlüsseln oder der Regierung und ihren Strafverfolgungsbehörden bei der Dechiffrierung assistieren. 0% 10% 20% 30% 40% 50% Comodo* IdenTrust* Symantec Group* GoDaddy Group* GlobalSign** DigiCert* StartCom Entrust* Unizeto Verizon* Trustwave* Secom Trust Let s Encrypt* QuoVadis* Actelis Deutsche Telekom TWCA 2,0% 1,3% 0,4% 0,4% 0,4% 0,3% 0,3% 5,1% 8,0% 16,2% 21,0% 43,9% Abb. 2: Marktanteil Zertifizierer 1 (* US-Zertifizierer, ** UK-Zertifizierer) 1 https://w3techs.com/technologies/overview/ssl_certificate/all 2 https://de.scribd.com/doc/307378123/burr-encryption-bill-discussion-draft

De facto müssten Firmen zukünftig, wie bereits mehrfach vom FBI gefordert, eine Hintertür einbauen oder die Verschlüsselung nur so stark auslegen, dass sie mit geringem Aufwand geknackt werden kann. Der Umkehrschluss: Verschlüsselung, die ihren eigentlichen Zweck erfüllt, Daten wirksam vor fremdem Zugriff zu schützen, wäre illegal. In Zeiten des Protektionismus und America first sollte man demnach Abstand von US-amerikanischen Zertifikaten nehmen und gründlich darüber nachdenken, wo man ein Zertifikat einkauft. Tatsächlich ist aus deutscher Sicht ein eigenes Unternehmens-Zertifikat höherwertig, als das eines wohlklingenden US-Zertifizierers wie TeleTrust auch wenn der Webbrowser alles Erdenkliche tun wird, um diese Einschätzung zu torpedieren (siehe Abbildung 1). Wenn Sie Informationen über ein SSL-Zertifikat einholen wollen, ist dies u.a. mit Firefox möglich. Klicken Sie hier auf das Icon für eine sichere Verbindung links der Adresszeile, werden Informationen zu dem verwendeten SSL-Zertifikat eingeblendet. Darüber hinaus war es bisher überaus schwierig, vertrauenswürdige Zertifikate zu erwerben. Die Versuche für SCRYPTOS, ein D-Trust Zertifikat zu erwerben, schlugen allesamt fehl, da der Zertifizierer sich außer Stande sah, uns ein entsprechendes Zertifikat auszustellen. Es wirkte, als habe er dies noch nie getan. Alternativ kann man Zertifikate der Deutschen Telekom AG kaufen, die jedoch Wiederverkäufer für GlobalSign ist und selbst sowohl diese, als auch VeriSign Zertifikate aus den USA einsetzt. Hier wird die Sicherheit immer wieder durch Fremdzertifikate kompromittiert. BROWSING: How it should happen request to website request to website page content page content USER INTERNET REAL SITE Abb. 3: Besuch einer Website im Idealfall

Was also ist zu tun? Bisher gelten Zertifikate aus der Schweiz und aus Luxemburg als frei von Hintertüren. In der Schweiz ist die Absenz von Hintertüren bzw. Zweit-Zertifikaten für die Spionage gesetzlich geregelt, also das genaue Gegenteil der Hintertüren-Pflicht in den USA. Dies ist jedoch kein Garant auf Lebenszeit; die politische Situation, internationale Handelsabkommen und die Interessen des zertifizierenden Landes sollten immer wieder auf den Prüfstand gehoben und gegebenenfalls der Zertifizierer ausgetauscht werden. SCRYPTOS setzt derzeit auf SwissSign Zertifikate. Die SwissSign ist eine 100%-ige Tochter der Schweizer Post. Ziel ist es sicherzustellen, dass die Verbindung zwischen Nutzer und Service immer eine 1:1 Verbindung ist (siehe Abbildung 3) und nicht durch unsichere Zertifikate unterwandert wird (sogenannte Man in the Middle Attacke, siehe Abbildung 4), sei es durch einzelne Hacker oder die Geheimdienste anderer Staaten. PHISHING: Man in the Middle request to spoofed URL compromised request spoofed content page content USER MAN IN THE MIDDLE REAL SITE Abb. 4: Besuch einer Website bei kompromittierter Verbindung Warum SCRYPTOS? Da SCRYPTOS ein deutsches System ist, alle Daten ausschließlich in Rechenzentren in Deutschland gespeichert werden und keine SSL-Zertifikate von US-Unternehmen genutzt werden, besteht keine Gefahr, dass amerikanische Sicherheitsbehörden, Geheimdienste oder Unternehmen unbemerkt Zugriff auf die Daten erhalten. Lesen Sie hierzu auch das Whitepaper Wirtschaftsspionage als Gefahr für Hidden Champions Nicht nur Konzerne stehen im Fokus. Die Sicherheit Ihrer Daten steht für SCRYPTOS an höchster Stelle. Daher können Sie sich sicher sein, dass wir auch in Zukunft darauf achten werden, nur sichere Zertifikate und Rechenzentren für den Betrieb von SCRYPTOS einzusetzen. Überzeugen Sie sich selbst und melden Sie sich noch heute für einen Testzugang auf www.scryptos.com an.

Kontakt: SYGNOMI GmbH Am Kreuzstein 80 63477 Maintal 06109-24 54 0 mail@sygnomi.de Autor: Detlef Hastik Vertrieb: SMC Consult GmbH 040-8888 299 69 vertrieb@sygnomi.de Whitepaper Version 1.0 Veröffentlichungsdatum: 01.08.2017

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback