Panne bei Zertifikatsherausgeber Türktrust

SSL ist nunmal broken by design.

Das ist richtig. Es geht ja nicht um das Design der Zertifikate. Ok, ich hätte eher "das SSL-System" schreiben sollen

Und DAS ist mal richtig gru-se-lig
http://code.google.com/p/go/source/br…9/verify.go#128

Ich verstehe das nicht - ich nutze seit Jahren zufreiden Thunderbird - nun stolpere ich über das (siehe Bild). Das was ich da lese weckt kein Vertrauen - alles löschen in Summe kann man nicht - alles einzeln anpicken dauert Stunden ...

HILFE?!?!?!?!

Guten Tag jfvv,

und willkommen im Forum! (<= Ja, so viel Zeit nehmen wir uns hier ... .)
Bitte definiere doch einmal dein eigentliches Problem.
Ich sehe den Zertifikatsmanager eines Mozilla-Produktes (vermutlich Thunderbird). Aber dein Problem kann ich beim besten Willen nicht daraus erkennen.

Und noch etwas:
Lass dich von den dummen Bemerkungen mancher mit Halbwissen gesegneter Zeitgenossen nicht unsicher machen.
Es ist gut und richtig, wenn dich verantwortungsbewusste User aus dem Forum oder auch Fachzeitschriften (und damit meine ich nicht den Computer-Bummi ...) auf bestimmte Probleme und Vorkommnisse hinweisen. Aber dann kommt meistens nur noch warme Luft oder Halbwissen angeflattert.

MfG Peter

Hallo und danke für deine Antwort Peter.

Es geht darum:

Ja - es geht um Thunderbird. Ich kenne mich nicht so gut aus und denke, dass Zertifikate etwas mit "ich vertraue dem Anbieter des Zertifikates" zu tun haben. Nun ist es so, dass ich mich beim besten Willen nicht daran erinnern kann, AOL, TÜRKTRUST oder AddTrust oder oder oder mein Vertrauen ausgesprochen zu haben. Auch Frage ich mich, was das mit meinem Thunderbird zu tun hat. Warum speichere ich auf meinem PC Zertifikatanbieter, mit denen ich nichts zu tun haben möchte? Oder ist das lediglich eine Liste, mit der Thunderbird standardmäßig "ausgeliefert" wird und alles ist bestens in Ordnung?

Den zweiten Teil deiner Nachricht verstehe ich nicht ganz. Ich bin selbst darüber gestolpert, als ich Zertifikat-Probleme mit meinen beiden E-Mail-Anbitern hatte.

Danke.

Gruß
Jan

Hallo Jan,

Zitat von "jfvv"

Es geht darum:
... und denke, dass Zertifikate etwas mit "ich vertraue dem Anbieter des Zertifikates" zu tun haben.

Und das genau ist es.
Aber was bedeutet dieses Vertrauen?
Es bedeutet, dass wir zum einen darauf vertrauen, dass dieses mit seinem root-Zertifikat ausgewiesene TrustCenter genau der im Zertifikat genannten Firma oder der im Z. benannten Person (bei User-Z. für E-Mailverschlüsselung und -Signatur) bzw. für den im Z. genannten Server (meist in Verbindung mit dem Namen des Betreibers) eben jenes Zertifikat ausgestellt hat. Dieses Zertifikat (*) beweist uns oder unserer Technik, dass wir mit dem darin bezeichneten Server oder der darin genannte Person kommunizieren.
(*) Ich schreibe zur Vereinfachung der Zusammenhänge bewust immer "Zertifikat". Dieses beinhaltet neben den "Zertifikatsdaten" und der Signatur des Ausstellers nur den öffentlichen Schlüssel. Das ist das, was du von "anderen" zu sehen bekommst. Bei den eigenen "Zertifikaten" handelt es sich um so genannte "Schlüsseldateien", also eine Kombination aus Zertifikat und privatem Schlüssel.

Und wir vertrauen darauf, dass dieses Zertifikat (* hier ist es wirklich die Schlüsseldatei!) nur genau ein mal existiert, und niemand außer dem Käufer/Antragsteller dieses Zertifikates eine weitere Kopie davon erhalten.
(Wir vertrauen natürlich auch darauf, dass die Verschlüsselung mit SSL in den entsprechenden Servern sauber implementiert ist. Aber das hat nichts mit den Zertifikaten an sich zu tun. Wenn dort geschlampt wird, kannst du Zertifikate vom besten und sichersten Trustcenter der Welt nutzen ... . Auch hier sind "nur" Menschen am Werk.)

Trustcenter arbeiten nach einer "Zertifizierungsrichtlinie" (Policy). Darin ist kleinlich beschrieben, wie die Zertifikate hergestellt werden (bis hin zur Nennung des Hardwaresicherheitsmodules, auf welchem die Schlüssel generiert werden und überhaupt welche Technik zur Anwendung kommt). Es ist auch beschrieben, mit welchen Prozessen die Antragsteller sicher identifiziert werden (bei Personen mit gültigen PA und im 4-Augenprinzip, bei Firmen mit Auszug aus dem Handelsregister + wer überhaupt für eine Firma beantragen darf, usw.) Nicht umsonst droht das dt. Signaturgesetz bei nicht sicher durchgeführter Identifikation der Antragsteller bis zu 10.000€ Strafe an.
(Ich denke das reicht als Beispiele)

Die Policys der etablierten Trustcenter sind alle im Internet einzusehen. Einschließlich der Ergebnisse der (zumindest bei uns in Deutschland) regelmäßig durchgeführten Sicherheitsaudits durch die Bundesnetzagentur als zuständige Behörde. Und die sind echt pingelig. (BTW: Grüße nach Mainz ;-))

Theoretisch ist also alles geklärt und bestens abgesichert.
Wenn dort nicht Menschen arbeiten würden und (böses Wort) Kapitalisten das Sagen haben, die auf Gewinnmaximierung aus sind.

Und genau aus diesen beiden Gründen kommt es ab und an vor, dass Pannen und Schlampereien passieren. Menschliche Fehler passieren nicht nur bei Ärzten, Piloten, Kapitänen und Astronauten, sondern auch bei Administratoren. Aber noch viel schlimmer empfinde ich Schlampereien, die aus purem Gewinnstreben heraus geschehen. Da werden eben aus genau diesem Grund (personalaufwändige = teuere) Identifizierungsmaßnahmen in kleinen, kaum geschützten IT-Systemen externer Firmen durchgeführt (= billig!), diese werden "gehackt" und dann können die Angreifer direkt auf die CA durchgreifen und dort nach Belieben produzieren. (Das betreffende TC wurde aufgelöst.)
Diese Fälle sind aber seltene Ausnahmen. Ich könnte auch (dt.) Trustcenter nennen, wo ein jeder Antrag durch internes Personal vor der Produktion noch einmal penibel geprüft wird, bevor produziert wird. Aber das kostet Geld. IT-Sicherheit kostet überhaupt Geld ... .

Und dann dürfen wir nicht vergessen: Es gibt gegenwärtig keine bessere praktikable Lösung!

Zitat

Nun ist es so, dass ich mich beim besten Willen nicht daran erinnern kann, AOL, TÜRKTRUST oder AddTrust oder oder oder mein Vertrauen ausgesprochen zu haben. Auch Frage ich mich, was das mit meinem Thunderbird zu tun hat. Warum speichere ich auf meinem PC Zertifikatanbieter, mit denen ich nichts zu tun haben möchte? Oder ist das lediglich eine Liste, mit der Thunderbird standardmäßig "ausgeliefert" wird und alles ist bestens in Ordnung?

Du hast auch das richtig erkannt.
Man könnte jetzt Browser, Mailclients, ja sogar ganze Betriebssysteme ohne ein einziges Herstellerzertifikat eines Trustcenters ausliefern. Würde sogar Geld sparen ... .
Das Ergebnis wäre, dass außer ein paar Freaks oder meinetwegen auch Wissenden kein Mensch verschlüsselte Verbindungen nutzen würde. (**)
Wenn ich zum Bsp. eine gesicherte Verbindung zu meiner Bank oder zu den Servern meiner Mailprovider aufbauen wollte, dann würde ich mir die Mühe machen, und im Internet nach den Policys der beteiligten TC suchen und diese studieren. Vielleicht noch ein wenig nach Vorkommnissen und Auffälligkeiten googeln. Und dann verantwortungsbewusst entscheiden, ob ich diesem Zertifikat vertrauen will. Aber was ist die Alternative? => Diese Verbindungen eben "barfuß" betreiben. Will ich das wirklich?
(**) Es gäbe natürlich auch das andere Extrem! Wir nennen es "Du darfst - ohne nachzudenken!"
Otto Normaluser bekommt eine Zertifikatswarnung (immer, es sind ja keine Herausgeberzertifikate installiert!). Und was mach ONU? Ausnahmegenehmigung, immer ... .
Ganz normal, ONU kann das doch gar nicht anders! Sellbst wenn er damit anfangen würde, er würde bei der ersten Policy spätestens auf Seite 3 zu Lesen aufhören ... .

Und genau aus diesen Gründen übernehmen es die Hersteller der Browser, Mailclients oder Betriebssysteme, diese Arbeit für die Nutzer zu erledigen.
Ergebnis: Eben jede vorinstallierten Herausgeberzertifikate. Und ich weiß bei Mozilla und auch bei meinem Betriebssystem, dass da Leute sitzen, welche die entsprechende Verantwortung übernehmen und das "ordentlich" machen.
Und ich habe festgestellt, dass diese Zertifikatslisten nach bekannt gewordenen "Pannen" recht schnell aktualisiert werden. Selbst aus dem Hause M$ kommt am Patchtag ab und an ein Patch, welcher sich (in etwa) "Liste der Stammzertifikate" nennt. Und genau das ist wichtig, die schnelle Reaktion.
(Ach ja, wenn ich von einer Panne höre oder lese, dann haue ich dieses eine TC auch händisch raus.)

OK?

MfG Peter