Alle Root Zertifikate werden als nicht vertrauensvoll eingestuft

Mitglied: jackjack

jackjack (Level 1) - Jetzt verbinden

23.11.2011 um 11:30 Uhr, 4425 Aufrufe, 7 Kommentare

Hallo zusammen!

Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten

und zwar geht es um folgendes:

Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.

Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten

Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden

Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?

Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.

Ich freue ich auf eure Unterstützung!
Mitglied: AndiEoh
23.11.2011 um 13:00 Uhr
Nennt sich "MitM". In manchen Umgebungen ist https bzw. dessen Nebenwirkungen (Tunnel, nicht per Virenscanner prüfbar) "unerwünscht". Deshalb gibt es Proxy Server die auch https "unterbrechen" um den Inhalt prüfen zu können. Da der Proxy i.d.R. keine gültigen SSL Zertifikate für die angesteuerten Webseiten hat weißt dich dein Browser mit recht auf die Sicherheitslücke hin. Die Seiten als "vertrauenswürdig" einzustufen ist verkehrt, da du damit dem Proxy vertraust und nicht der Seite. Wenn es nun wieder funktioniert kann es drei Gründe haben:
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt

Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 13:22 Uhr
Hallo!

Vielen Dank für die aufklärenden Worte!
Besonders den 2. Punkt den du angesprochen hast sehe ich auch sehr kritisch. Würde das den funktionieren das der proxy auf den Client PC's einfach ein Root Zertifikat ohne Bestätigung des Nutzers ablegt? (Es gibt zwar einen DC/AD aber nicht alle Clients sind dort integriert, meine PC's auch nicht) Und soweit ich weiß muss ich Root Zertifikate immer bestätigen.

Gibt es den irgendwie eine Möglichkeit das zu überprüfen ob meine Zertifikate noch gültig bzw vertrauenswürdig sind oder ob ich so ein Root Zertifikat "untergeschoben" bekommen habe?

Und desweiteren von meinem Verständnis her sollte die openVPN Verbindung aber auf jedenfall noch sicher sein da ja hier die Zertifikate auf Server sowie Client vorher schon ausgetauscht wurden?
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 13:47 Uhr
Die Möglichkeit Root Zertifikate unbemerkt unterzuschieben gibt es nur in "Managed" Umgebungen also z.B. für Mitglieder einer Windows Domain. Prüfen lässt sich das indem man den Windows Zertifikatsstore vergleicht, oder im Falle des Proxy das Zertifikat der Webseite prüft bzw. den Austeller des Zertifikates. Falls du es mit der Sicherheit wirklich ernst meinst solltest du sowieso den Zertifikate Store deines Browsers/Betriebssystems durchgehen und abgleichen ob der Hersteller und du gleicher Meinung sind über "vertrauenswürdig". Ob man z.B. Root CAs aus mehr oder minder totalitären Staaten vertrauen sollte ist Geschmackssache.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 14:14 Uhr
ok dann mach ich mir mal keine Sorgen das ich irgendwelche Zertifikate untergeschoben bekommen habe. ich werde heute Abend mal meine Root Zertifikate durchsehen und deinem Ratschlag folgen mit zu überlegen wem ich "vertraue" und nicht.

Ich hab mich auch mal etwas in die MitM proxy Sache reingelesen und dort stand auch das man das über den Aussteller des Zertifikates herausfinden kann. Ich werde in nächster Zeit etwas genauer hinsehen von wem die Zertifikate ausgestellt sind.

Vielen Dank auf jedenfall das du mich auf die richtige Spur gebracht hast, hab ich wieder was gelernt heute :) face-smile
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 15:46 Uhr
Beitrag als "gelöst" markieren...?
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 20:11 Uhr
danke hab ich gemacht!

ich hab heute übrigens zuhause nachgeschaut in meinen Zertifikaten und ich habe ja wie gesagt gestern einmal die "Ausnahme hinzufügen" gemacht und das Zertifikat war wirklich wie du gesagt hast so ein MitM Zertifikat das von dem proxy erstellt wurde (Panda Gate Defender). Hab in der Anleitung von der Software auch nachgelesen und die Software "preist" diese tolle Funktion auch noch an. Auf jedenfall habe ich die Zertifikate mal als "Beweis" gesichert und danach gelöscht (und nebenbei noch wie von dir vorgeschlagen auch noch ein paar Root CAs)

Also im Moment scheint das mit dem Internet hier wieder ohne Probleme zu funktionieren aber meine Kommilitone haben mir von ähnlichen Probleme den Tag über berichtet also scheinen die Administratoren da wieder dran "rumgespielt" zu haben...

Wie du schon in deinem ersten Post geschrieben hast, "Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich." bin ich der gleichen Meinung und würde es nicht für so toll finden wenn hier in der Uni der ganze SSL Verkehr überwacht werden würde. Wie sieht das den rechtlich mit dieser Situation aus? Ist sowas eigentlich erlaubt?

Ich würde mich noch über deine Einschätzung sehr freuen!
Bitte warten ..
Mitglied: AndiEoh
24.11.2011 um 10:23 Uhr
Im Firmenumfeld wäre es u.U. möglich wenn die Privatnutzung per Arbeitsvertrag ausgeschlossen ist und wenn diese Massnahme den Mitarbeitern klargemacht wird (von den Mitarbeitern unterschriebene Richtlinie). Ob der Betriebsrat zustimmen muß oder nicht kann ich jetzt nicht sicher sagen, wie das an einer Uni zu bewerten ist auch nicht. Da allerdings auch viele Leute von "unterwegs" mal eben das Bankkonto checken und ähnliche Dinge tun würde ich mal mit dem Datenschutzbeauftragten eurer Uni/Hochschule sprechen.

Gruß

Andreas
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit56 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 1 TagAllgemeinHyper-V20 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Off Topic
Nach 700 Tagen adwcleaner
altmetallerVor 1 TagAllgemeinOff Topic8 Kommentare

Hallo, ich habe in meinem Netzwerk diverse Maßnahmen, um nicht nur Angriffe, sondern auch - sagen wir mal - unerwünschte Datenabflüsse und Tracking zu ...

Server-Hardware
Was bedeuten die Abkürzungen beim HPE-Server wie z.B. NC, Mod-X?
gelöst kaineanungVor 1 TagFrageServer-Hardware19 Kommentare

Hallo Leute, ich habe ein HPE-Serverangebot vorliegen bei dem ich an 1-2 Positionen nicht weiß was diese überhaupt bedeuten. Suche ich im Internet danach ...

Netzwerkgrundlagen
DS-Lite Verständnisfrage Wireguard
gelöst fnbaluVor 1 TagFrageNetzwerkgrundlagen19 Kommentare

Hallo zusammen, bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so ...

Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

Microsoft Office
Jubiläen in Outlook 2016 korrekt eintragen
imebroVor 1 TagFrageMicrosoft Office16 Kommentare

Hallo an Alle. Wir haben nur einen recht kleinen Mitarbeiterkreis. Da in der Vergangenheit schon mehrfach versäumt wurde, Kolleg/-innen zu Betriebs-Jubiläen zu gratulieren, würde ...