jackjack
Goto Top

Alle Root Zertifikate werden als nicht vertrauensvoll eingestuft

Hallo zusammen!

Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten

und zwar geht es um folgendes:

Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.

Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten

Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden

Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?

Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.

Ich freue ich auf eure Unterstützung!

Content-ID: 176689

Url: https://administrator.de/forum/alle-root-zertifikate-werden-als-nicht-vertrauensvoll-eingestuft-176689.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

AndiEoh
AndiEoh 23.11.2011 um 13:00:24 Uhr
Goto Top
Nennt sich "MitM". In manchen Umgebungen ist https bzw. dessen Nebenwirkungen (Tunnel, nicht per Virenscanner prüfbar) "unerwünscht". Deshalb gibt es Proxy Server die auch https "unterbrechen" um den Inhalt prüfen zu können. Da der Proxy i.d.R. keine gültigen SSL Zertifikate für die angesteuerten Webseiten hat weißt dich dein Browser mit recht auf die Sicherheitslücke hin. Die Seiten als "vertrauenswürdig" einzustufen ist verkehrt, da du damit dem Proxy vertraust und nicht der Seite. Wenn es nun wieder funktioniert kann es drei Gründe haben:
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt

Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
jackjack
jackjack 23.11.2011 um 13:22:12 Uhr
Goto Top
Hallo!

Vielen Dank für die aufklärenden Worte!
Besonders den 2. Punkt den du angesprochen hast sehe ich auch sehr kritisch. Würde das den funktionieren das der proxy auf den Client PC's einfach ein Root Zertifikat ohne Bestätigung des Nutzers ablegt? (Es gibt zwar einen DC/AD aber nicht alle Clients sind dort integriert, meine PC's auch nicht) Und soweit ich weiß muss ich Root Zertifikate immer bestätigen.

Gibt es den irgendwie eine Möglichkeit das zu überprüfen ob meine Zertifikate noch gültig bzw vertrauenswürdig sind oder ob ich so ein Root Zertifikat "untergeschoben" bekommen habe?

Und desweiteren von meinem Verständnis her sollte die openVPN Verbindung aber auf jedenfall noch sicher sein da ja hier die Zertifikate auf Server sowie Client vorher schon ausgetauscht wurden?
AndiEoh
AndiEoh 23.11.2011 um 13:47:36 Uhr
Goto Top
Die Möglichkeit Root Zertifikate unbemerkt unterzuschieben gibt es nur in "Managed" Umgebungen also z.B. für Mitglieder einer Windows Domain. Prüfen lässt sich das indem man den Windows Zertifikatsstore vergleicht, oder im Falle des Proxy das Zertifikat der Webseite prüft bzw. den Austeller des Zertifikates. Falls du es mit der Sicherheit wirklich ernst meinst solltest du sowieso den Zertifikate Store deines Browsers/Betriebssystems durchgehen und abgleichen ob der Hersteller und du gleicher Meinung sind über "vertrauenswürdig". Ob man z.B. Root CAs aus mehr oder minder totalitären Staaten vertrauen sollte ist Geschmackssache.
jackjack
jackjack 23.11.2011 um 14:14:47 Uhr
Goto Top
ok dann mach ich mir mal keine Sorgen das ich irgendwelche Zertifikate untergeschoben bekommen habe. ich werde heute Abend mal meine Root Zertifikate durchsehen und deinem Ratschlag folgen mit zu überlegen wem ich "vertraue" und nicht.

Ich hab mich auch mal etwas in die MitM proxy Sache reingelesen und dort stand auch das man das über den Aussteller des Zertifikates herausfinden kann. Ich werde in nächster Zeit etwas genauer hinsehen von wem die Zertifikate ausgestellt sind.

Vielen Dank auf jedenfall das du mich auf die richtige Spur gebracht hast, hab ich wieder was gelernt heute face-smile
AndiEoh
AndiEoh 23.11.2011 um 15:46:34 Uhr
Goto Top
Beitrag als "gelöst" markieren...?
jackjack
jackjack 23.11.2011 um 20:11:41 Uhr
Goto Top
danke hab ich gemacht!

ich hab heute übrigens zuhause nachgeschaut in meinen Zertifikaten und ich habe ja wie gesagt gestern einmal die "Ausnahme hinzufügen" gemacht und das Zertifikat war wirklich wie du gesagt hast so ein MitM Zertifikat das von dem proxy erstellt wurde (Panda Gate Defender). Hab in der Anleitung von der Software auch nachgelesen und die Software "preist" diese tolle Funktion auch noch an. Auf jedenfall habe ich die Zertifikate mal als "Beweis" gesichert und danach gelöscht (und nebenbei noch wie von dir vorgeschlagen auch noch ein paar Root CAs)

Also im Moment scheint das mit dem Internet hier wieder ohne Probleme zu funktionieren aber meine Kommilitone haben mir von ähnlichen Probleme den Tag über berichtet also scheinen die Administratoren da wieder dran "rumgespielt" zu haben...

Wie du schon in deinem ersten Post geschrieben hast, "Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich." bin ich der gleichen Meinung und würde es nicht für so toll finden wenn hier in der Uni der ganze SSL Verkehr überwacht werden würde. Wie sieht das den rechtlich mit dieser Situation aus? Ist sowas eigentlich erlaubt?

Ich würde mich noch über deine Einschätzung sehr freuen!
AndiEoh
AndiEoh 24.11.2011 um 10:23:22 Uhr
Goto Top
Im Firmenumfeld wäre es u.U. möglich wenn die Privatnutzung per Arbeitsvertrag ausgeschlossen ist und wenn diese Massnahme den Mitarbeitern klargemacht wird (von den Mitarbeitern unterschriebene Richtlinie). Ob der Betriebsrat zustimmen muß oder nicht kann ich jetzt nicht sicher sagen, wie das an einer Uni zu bewerten ist auch nicht. Da allerdings auch viele Leute von "unterwegs" mal eben das Bankkonto checken und ähnliche Dinge tun würde ich mal mit dem Datenschutzbeauftragten eurer Uni/Hochschule sprechen.

Gruß

Andreas