TLS des tages

Auch, wenn heise das in seiner übelschrift ganz anders formuliert: TLS ist nach wie vor kaputt, es gibt zurzeit zum beispiel einen „hübschen“ angriff über eine lücke in den DNS-sörvern und „jeder“ kann sich zurzeit von CAs TLS-zertifikate für beliebige domäjhns ausstellen lassen. „Beliebige domäjhns“ meint hier: beliebige domäjhns. Zum beispiel eure bank, eure suchmaschine, euer mäjhlanbieter…

Ich wünsche den naiven und vom jornalismus verblödeten menschen dieser welt auch weiterhin viel spaß mit der gefühlten sicherheit durch den blick auf das kleine schlösschen an der adresszeile! Das von zentralen CAs abhängige TLS ist dermaßen im arsch, dass man nicht einmal vertrauen herstellen kann, indem man auf das schlösschen klickt und das zertifikat überprüft. Und wenn sich irgendein dritter in die mitte stellt — zum beispiel eine schadsoftwäjhr, die durchaus auch als addon für den webbrauser implementiert sein kann — ist zum beispiel eine unbemerkbare manipulazjon des an sich verschlüsselten onleinbänkings möglich, während der anwender wie ein gebanntes karnickel auf das sicherheitsverheißende schlösschen gafft und sich sicher fühlt.

Wer immer noch nicht beunruhigt ist, sollte sich mal in seinem webbrauser anschauen, welchen CAs automatisch vertraut wird. Ich persönlich vertraue, wenns drauf ankommt, weder den deutschen telekomikern noch der TÜRKTRUST elektronik sertifika hizmet sağlayıcısı H5 und schon gar nicht der CA 沃通根证书. Von den diversen unternehmen in den USA einmal ganz abgesehen.

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

TLS des tages

Guckt, ob da ein schlösschen in der adressleiste des brausers ist, haben sie gesagt. Das ist sicherheit im internetz, haben sie gesagt.

Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Offenbar ist es jedoch technisch nicht feststellbar, welche Zertifikate davon betroffen sind – sie sind identisch mit anderen von Symantec ausgestellten Zertifikaten. Daher besteht keine Möglichkeit, nur diesen Zertifikaten das Vertrauen zu entziehen

Auch weiterhin viel spaß beim festen glauben an bekweme kompjutersicherheit! TLS — vorsätzlich als ein verfahren konzipiert, dass irgendwelche klitschen den brauserproggern pinkepinke dafür geben, dass sie als CA im brauser eingetragen sind und dann davon leben, dass sie mondpreise für den start eines perlskriptes zur erstellung eines zertifikates nehmen — ja, dieses TLS ist tot. Es gibt nur leider noch nichts besseres… 😦

Symantec-Kunden, die 1.000 Dollar oder mehr für ein entsprechendes Zertifikat ausgegeben haben, werden hier vermutlich auch ihr Geld zurückfordern

Recht so!

Datenschleuder des tages

„Let’s encrypt“, diese CA mit den freien TLS-zertifikaten für jeden, hat 7.600 mäjhladressen von nutzern veröffentlicht. Aber hey, freut euch sagt „let’s encrypt“ zu euch, denn es war ja nicht so schlimm, wie es hätte kommen können, wenn 383.000 mäjhladressen veröffentlicht worden wären.