barthinator
Goto Top

Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung

Verschlüsselung von Mircrosoft vertrauenswürdig?
Hier bietet sich eventuell eine Sicherheitslücke bei den Zertifikaten an.
Durch GPOs lässt sich dies verhindern, allerdings kann es dann zu Fehlern führen.

Firefox ist nicht betroffen!

http://www.heise.de/newsticker/meldung/Windows-Dynamische-Zertifikat-Up ...

Content-ID: 212741

Url: https://administrator.de/forum/windows-dynamische-zertifikat-updates-gefaehrden-ssl-verschluesselung-212741.html

Ausgedruckt am: 26.12.2024 um 16:12 Uhr

chfr77
chfr77 29.07.2013 um 12:28:57 Uhr
Goto Top
Guter Hinweis, der Fix ist aber gefährlich bzw. mit zusätzlicher Vorarbeit verbunden, wenn im Unternehmen IE als Standardbrowser verwendet wird.
AndiEoh
AndiEoh 29.07.2013 um 13:31:37 Uhr
Goto Top
Ist meiner Meinung nach eher die prizipielle Frage ob man Microsoft vertraut oder eher nicht. Genausogut besteht für MS die Möglichkeit das System per Windows Update zu manipulieren oder einfach den Geheimdiensten von MS signierte Zertifikate zur Verfügung zu stellen. Außerdem hat das per GPO auch schon immer funktioniert und wird auch teilweise auf Domainen-Ebene verwendet um DLP Systeme und Virensecanner zu unterstützen damit SSL "transparent" wird.
chfr77
chfr77 29.07.2013 um 13:42:12 Uhr
Goto Top
Würde "man" Microsoft nicht vertrauen, setzte "man" deren Software auch nicht ein.

Wenn ein Firmenchef vorgibt, dass Windows-Clients mit MS-Office und Windows-Server mit AD und Exchange eingesetzt werden, dann vertraut die Firma Microsoft, egal ob das dem persönlichen Geschmack desjenigen entspricht, der diese Vorgaben umsetzt.
AndiEoh
AndiEoh 29.07.2013 um 18:56:06 Uhr
Goto Top
Sag ich doch. Wenn man Windows einsetzt ergeben sich keine prinzipiell neuen Lücken durch die automatischen Zertifikat-Updates. Entweder ich vertraue dem Hersteller des OS zumindest bis zu einem gewissen Grad oder auch nicht.
C.R.S.
C.R.S. 30.07.2013 um 01:17:42 Uhr
Goto Top
Das Paper, das die c't damit aufwärmt: http://files.cloudprivacy.net/ssl-mitm.pdf


Den Artikel könnte man so verstehen, dass es Aufgabe einer Stammzertifikatsverwaltung wäre, dem Anwender die Entscheidung über das Vertrauen in eine CA abzunehmen bzw. durch Vertrauen in den Hersteller der Zertifikatsverwaltung zu ersetzen, indem der das Repository erstausstattet und dauerhaft vernagelt.

Das ist nicht praktikabel. Der Nutzer, gerade von Webangeboten, will nun mal auf einen Dienst zugreifen und lässt sich durch Sicherheitswarnungen vielleicht nerven, aber nicht aufhalten. Deshalb betrachtet z.B. auch FF bei fehlgeschlagener OSCP-Validierung das Zertifikat standardmäßig nicht als ungültig, obwohl das logisch zwingend wäre. Das finde ich verwerflicher.

Denn unter diesen Bedingungen zielt der Ansatz von Microsoft richtigerweise nur darauf ab, gerade kein Indiz für an sich delegiertes Vertrauen in irgendeine CA zu liefern, indem angeforderte CAs auch zur Verfügung gestellt werden (sofern sie teilnehmen).
Man kann bemängeln, dass das dem Endanwender nicht ausreichend transparent wird, aber es bleibt ja in jedem Fall seine notwendige Entscheidung, ob er einer CA vertraut oder nicht. Der Denkfehler der Autoren liegt schon in dem unterschiedlichen Vertrauen in eine vor- und eine nachinstallierte CA, über die sie wohl gleichermaßen keinerlei Informationen haben.

Grüße
Richard
Herbrich19
Herbrich19 30.07.2013 um 06:44:49 Uhr
Goto Top
Hallo,

Vielen Dank für den Link, der hat mir sehr geholfen. Ich habe jetzt den IE Verboten und nur noch Firefox zugelassen via GPO.

Übrigens: Der Google Browser nutzt so weit ich weiß auch das SSL System von IE, deswegen dürfte er auch betroffen sein oder nicht?

LG, Herbrich
chfr77
chfr77 30.07.2013 um 08:58:28 Uhr
Goto Top
Das Firefox im Unternehmen die auf Windows setzen sicherer oder besser ist als IE halte ich für ein Gerücht.
Firefox gibt über "safebrowsing-updates" ungefragt Daten weiter und die Zertifikatsvertrauensverwaltung in Firefox ist mindestens genauso fragwürdig wie im IE.
Es gab auch in Firefox deutlich mehr Probleme mit illegalen und geknackten CA-Zertifikaten in den letzten Jahren und in fast jedem Firefox-Update werden einem ungefragt "vertrauenswürdige" CA-Certs aktualisiert.
Für Firefox haftet niemand und der Hersteller gibt auch keine SLA wenn es um Sicherheit und Funktionalität geht, für IE ist das schon dabei.
Herbrich19
Herbrich19 30.07.2013 um 09:22:06 Uhr
Goto Top
Hallo,

In IE kann jeder EV Zertifikate erstellen, zumindest jeder der einen Windows Server betreibt, ich habe dazu ein Tutorial gefunden direkt in der Hilfe von Windows 7, Interessant finde ich dass EV,s mit einer Zertifikat Vorlage erstellt werden. Und nicht in System Einkompiliert sind, wie es in Firefox aussieht weiß ich nicht.

LG, Herbrich
chfr77
chfr77 30.07.2013 um 09:46:50 Uhr
Goto Top
Ja, Du kannst alles in Deiner Domäne selber einstellen und es gibt dafür Dokumentationen, Support und Funktionalitätsgarantien, weil dafür bezahlt wurde. Ist doch super.
Herbrich19
Herbrich19 30.07.2013 um 09:49:38 Uhr
Goto Top
Hallo,

Nur Problematisch wird es wen Externe EV Zertifikate eingebaut werden in die eigene Domäne, denn dann kan z.B. jemand anderes Man in the Middel Angriffe führen, und der Client Akzeptiert es ohne Probleme. Ich Spreche da übrigens jemand ganz bestimmten an, den ich kenne falls er das liest^^

LG, Herbrich
chfr77
chfr77 30.07.2013 um 09:57:33 Uhr
Goto Top
Herbrich, Du kannst alles zurechtbeschreiben, dass es einen Zustand gibt, bei dem irgendwas gefährlich ist.

Wieso sollte eine unternehmenseigene Win-CA auf einem Winserver, der dann domänenweit vertraut wird, ein Problem sein? Weißt Du überhaupt was das ist? Hol Dir mal ein Buch über PKI und Vertrauensstellungen!

Wenn man einem nicht vertrauenswürdigen Zertifikat vertraut, dann trägt übrigens der Zertifikatsspeicher nicht die Schuld.
Herbrich19
Herbrich19 30.07.2013 um 10:25:28 Uhr
Goto Top
Hallo,

Ich glaube hier leigt ein kleines Missverständniss vor, der Eigene Domäne PKI Server ist oder sollte nicht Gefährlich sein. Aber das Root Zertifikat kann man ja Exportieren über http(s)://domain.tld/CertSrv und dann in ein Fremdes Forest Importieren. Und dieser Server könnte dann Zertifikate ausstellen die nicht so Freundlichen zwecken dienen.

Und in Firefox reicht es auch schon ma kurtz die Seite Aufzurufen, alles mal eben Abgehakt und dann auf OK und schon Vertraut Firefox der neuen CA blind. Beim IE braucht ja noch wenigstens die Admin Rechte, bei Firefox kann aber jeder ran wie er lustig ist. Stimmt, so gesehen ist Firefox doch die Schlechtete Wahl was Sicherheit angeht.

LG, Herbrich
AndiEoh
AndiEoh 30.07.2013 um 10:28:37 Uhr
Goto Top
Zitat von @chfr77:
Das Firefox im Unternehmen die auf Windows setzen sicherer oder besser ist als IE halte ich für ein Gerücht.
Firefox gibt über "safebrowsing-updates" ungefragt Daten weiter und die Zertifikatsvertrauensverwaltung in Firefox
ist mindestens genauso fragwürdig wie im IE.
Es gab auch in Firefox deutlich mehr Probleme mit illegalen und geknackten CA-Zertifikaten in den letzten Jahren und in fast jedem
Firefox-Update werden einem ungefragt "vertrauenswürdige" CA-Certs aktualisiert.
Für Firefox haftet niemand und der Hersteller gibt auch keine SLA wenn es um Sicherheit und Funktionalität geht,
für IE ist das schon dabei.

Das Firefox mehr Probleme mit gehackten CAs hat halte ich für ein Gerücht. Die CAs die in den letzten Jahres mißbraucht wurden ware dummerweise (oder absichtlich) in allen Browsern als Vertrauenswürdig eingestuft. Die "vertrauenswürdigen CAs" die bei Firefox per Update nachinstalliert werden sind größtenteils die, welche mit der nun angemeckerten Windows Update Funktion nachgeliefert werden, ist also auch kein Unterschied. Bezüglich Haftung und SLA gibt es von Microsoft leider auch nichts oder hat irgend jemand schon mal Schadenersatz für IE Fehler erhalten??
Was bleibt sind die Unterschiede der Software an und für sich. Der IE hat ein lange Historie an Problemen die aus der engen Verzahnung mit dem OS stammt, Firefox hatte früher ein Problem da Updates nur mit Administrator Berechtigung durchführbar waren. Alles in allem ist es also eher Geschmackssache was man verwendet.
AndiEoh
AndiEoh 30.07.2013 um 10:35:19 Uhr
Goto Top
Zitat von @Herbrich19:
Hallo,

Ich glaube hier leigt ein kleines Missverständniss vor, der Eigene Domäne PKI Server ist oder sollte nicht
Gefährlich sein. Aber das Root Zertifikat kann man ja Exportieren über http(s)://domain.tld/CertSrv und dann in ein
Fremdes Forest Importieren. Und dieser Server könnte dann Zertifikate ausstellen die nicht so Freundlichen zwecken dienen.

Und in Firefox reicht es auch schon ma kurtz die Seite Aufzurufen, alles mal eben Abgehakt und dann auf OK und schon Vertraut
Firefox der neuen CA blind. Beim IE braucht ja noch wenigstens die Admin Rechte, bei Firefox kann aber jeder ran wie er lustig
ist. Stimmt, so gesehen ist Firefox doch die Schlechtete Wahl was Sicherheit angeht.


Seh ich nicht so. Firefox überlässt es dem Nutzer und nicht (nur) dem Administrator welcher CA vertraut wird. Das eigentliche Problem liegt darin das

1.) kein Endbenutzer taugliches UI existiert um zu klären ob der Benutzer den CAs vertrauen will oder nicht

2.) kaum ein Endbenutzer (und auch viele Administratoren) in der Lage ist eine fundierte Entscheidung bezüglich Sicherheit zu treffen

Damit überlässt man einer dritten Stelle die Entscheidung, im Falle Firefox der Mozilla Foundation und im Falle IE eben Microsoft.
chfr77
chfr77 30.07.2013 um 11:45:02 Uhr
Goto Top
Zitat von @AndiEoh:
Bezüglich Haftung und SLA gibt es von Microsoft leider auch nichts oder hat irgend jemand schon mal Schadenersatz für IE Fehler erhalten??
Da gab es einige Fälle, außerdem gibt es spezifische Hotfixes und es gibt auch klare Gründe warum man in einer sicherheitskritischen Umgebung keine Gecko-Browser-Tools einsetzen sollte, wenn man diese nicht selber vollkommen im Griff hat.

Was bleibt sind die Unterschiede der Software an und für sich. Der IE hat ein lange Historie an Problemen die aus der engen
Verzahnung mit dem OS stammt, Firefox hatte früher ein Problem da Updates nur mit Administrator Berechtigung
durchführbar waren. Alles in allem ist es also eher Geschmackssache was man verwendet.

Genau das ist es nicht! Die lange Historie an Problemen ist mir nicht präsent. Wer ewig lange veraltete Versionen obendrein unkonfiguriert auf seinen Citrixfarmen einsetzt und dann rausfindet, dass IE6 schlechter ist als ein fast zehn Jahr jüngerer Firefox 3.6. Der muss dann auch mit einem Firefox vergleichen der zusammen mit IE6 rauskam. Ich sehe da eher eine Historie an komplett wartbarer Browsersoftware. Ich kenn da die wildesten Begründungen warum Firefox "besser" sei. Bisher ist mir aber noch kein Grund für Firefox in einem Windowsbasierten Unternehmennetzwerk, außer einer massiven Personalisierung inkl. Neubau der Anwendung, aufgefallen.
chfr77
chfr77 30.07.2013 um 11:55:47 Uhr
Goto Top
Zitat von @AndiEoh:
2.) kaum ein Endbenutzer (und auch viele Administratoren) in der Lage ist eine fundierte Entscheidung bezüglich Sicherheit zu treffen

Damit überlässt man einer dritten Stelle die Entscheidung, im Falle Firefox der Mozilla Foundation und im Falle IE eben Microsoft.

Dieses Eingeständnis bedeutet nicht, dass es im Allgemeinen oder bei "vielen" Anderen so ist.

Ist es denn sinnvoller einem Hersteller zu vertrauen:

a) Den man für eine Leistung bezahlt, dessen Betriebssystemsoftware man bereits einsetzt, der verbindliche Qualitätszusagen macht, der einen als Kunden halten möchte und der ein SLA für die Pflege und Reaktion auf Probleme hat und damit Rechtssicherheit verspricht.
b) Der aus einer Community von freiwilligen Personen und Unternehmen besteht, die selber konkrete Interessen verfolgen und in deren EULA klipp und klar steht das man mit seinen Problemen allein ist, wenn welche auftreten und insbesondere keine Garantie für irgendeine Funktionalität gegeben wird.

Nächste Frage: Sollte man b) überhaupt irgendeine Entscheidung darüber überlassen, ob eine Zertifizierungsstelle vertrauenswürdig ist, wenn man weiß das einige der Hauptsponsoren diese selber bereitstellen? Ist doch eigentlich noch unsicherer wenn das Hintergrundmänner machen die stille Teilhaber von b) sind als würde a) direkt eine CA betreiben.
AndiEoh
AndiEoh 30.07.2013 um 12:05:11 Uhr
Goto Top
Zitat von @chfr77:
Da gab es einige Fälle, außerdem gibt es spezifische Hotfixes und es gibt auch klare Gründe warum man in einer
sicherheitskritischen Umgebung keine Gecko-Browser-Tools einsetzen sollte, wenn man diese nicht selber vollkommen im Griff hat.

Wäre interessant zu wissen wer Entschädigung für Fehler des IE erhalten außer vielleicht den Kaufpreis für den Browser zurück erstattet.


Genau das ist es nicht! Die lange Historie an Problemen ist mir nicht präsent. Wer ewig lange veraltete Versionen obendrein
unkonfiguriert auf seinen Citrixfarmen einsetzt und dann rausfindet, dass IE6 schlechter ist als ein fast zehn Jahr jüngerer
Firefox 3.6. Der muss dann auch mit einem Firefox vergleichen der zusammen mit IE6 rauskam. Ich sehe da eher eine Historie an
komplett wartbarer Browsersoftware. Ich kenn da die wildesten Begründungen warum Firefox "besser" sei. Bisher ist
mir aber noch kein Grund für Firefox in einem Windowsbasierten Unternehmennetzwerk, außer einer massiven
Personalisierung inkl. Neubau der Anwendung, aufgefallen.

-> ActiveX, ist übrigens auch der Grund warum das beim IE nach und nach fast vollständig entfernt wurde und die neueren Versionen ab IE8 aufwärts deutlich besser sind. Bezüglich Firefox in Windows Umgebungen geb ich dir allerdings recht. Dort wird sowieso wenig Wert auf allgemeine Standards gelegt deshalb kann man auch IE verwenden face-wink
AndiEoh
AndiEoh 30.07.2013 um 12:14:30 Uhr
Goto Top
Zitat von @chfr77:

Dieses Eingeständnis bedeutet nicht, dass es im Allgemeinen oder bei "vielen" Anderen so ist.

Ist es denn sinnvoller einem Hersteller zu vertrauen:

a) Den man für eine Leistung bezahlt, dessen Betriebssystemsoftware man bereits einsetzt, der verbindliche
Qualitätszusagen macht, der einen als Kunden halten möchte und der ein SLA für die Pflege und Reaktion auf Probleme
hat und damit Rechtssicherheit verspricht.

Hast du jemals die EULA von Microsoft gelesen?

b) Der aus einer Community von freiwilligen Personen und Unternehmen besteht, die selber konkrete Interessen verfolgen und in
deren EULA klipp und klar steht das man mit seinen Problemen allein ist, wenn welche auftreten und insbesondere keine Garantie
für irgendeine Funktionalität gegeben wird.

Ich habe irgendwie das Gefühl das es zwar zugesicherte Eigenschaften aber keine Garantie für Software gibt.

Nächste Frage: Sollte man b) überhaupt irgendeine Entscheidung darüber überlassen, ob eine
Zertifizierungsstelle vertrauenswürdig ist, wenn man weiß das einige der Hauptsponsoren diese selber bereitstellen? Ist
doch eigentlich noch unsicherer wenn das Hintergrundmänner machen die stille Teilhaber von b) sind als würde a) direkt
eine CA betreiben.

Damit sind wir wieder ganz am Anfang, nämlich bei der Frage wem man Vertraut und wer das entscheiden sollte. Einer Firma zu vertrauen nur weil sie zu irgend einem Zeitpunkt X eine gewisse Geldmenge Y kassiert hat ist nicht unbedingt logisch. Deshalb wäre es eigentlich notwendig das der Anwender entscheidet, dabei kommen wir aber bei dem Punkt an das die wenigsten die Technik und deren Folgen verstehen und auch das UI so gut wie keine Unterstützung bietet.

Es ist schön für dich wenn du MS vorbehaltslos Vertrauen kannst, es gibt aber auch genügend Gründe dagegen.
chfr77
chfr77 30.07.2013 um 12:21:40 Uhr
Goto Top
Zitat von @AndiEoh:

Es ist schön für dich wenn du MS vorbehaltslos Vertrauen kannst, es gibt aber auch genügend Gründe dagegen.

*g* das tue ich gewiss nicht, ich habe aber auch keine persönlichen Vorlieben oder bin emotional voreingenommen weil es angeblich eine Historie von Problemen gibt die der Melder nie selber erlebt hat.
AndiEoh
AndiEoh 30.07.2013 um 15:00:39 Uhr
Goto Top
Zitat von @chfr77:

*g* das tue ich gewiss nicht, ich habe aber auch keine persönlichen Vorlieben oder bin emotional voreingenommen weil es
angeblich eine Historie von Problemen gibt die der Melder nie selber erlebt hat.

Doch ich hab sie erlebt, soll ich mal zählen wie oft ein "disable ActiveX modul..." in der IE Historie auftaucht? Vielleicht auch mal nachschauen welche Exploits länger als ein halbes Jahr bekannt und nicht gefixt waren?
Bezüglich Browser bin ich nicht wirklich "emotional voreingenommen", leider ist keiner perfekt und tatsächlich tummeln sich auf meinen Maschinen meist ziemlich viele davon für die unterschiedlichsten Anwendungsfälle. Aber die Behauptung das der IE irgendwelche Sicherheitsvorteile hätte oder die einzig sinnvolle Wahl im Windows Netzwerk ist, ist sehr weit hergeholt und hat auch nichts mehr mit dem eigentlichen Thema zu tun.
chfr77
chfr77 30.07.2013 um 15:38:03 Uhr
Goto Top
Zitat von @AndiEoh:
Doch ich hab sie erlebt, soll ich mal zählen wie oft ein "disable ActiveX modul..." in der IE Historie auftaucht?
ja, tu das mal
Vielleicht auch mal nachschauen welche Exploits länger als ein halbes Jahr bekannt und nicht gefixt waren?
Gute Idee. Welche waren das denn? Irgendwas das auftritt wenn man den IE unkonfiguriert auf einem Home-Rechner betreibt oder aktive Inhalte aus jeder Quelle zulässt?
Bezüglich Browser bin ich nicht wirklich "emotional voreingenommen" [...] sehr weit hergeholt und hat auch nichts mehr mit dem eigentlichen Thema zu tun.
"Nicht wirklich"? face-smile

Es geht mir nicht um einen exemplarischen Flamewar IE vs. Firefox, mir ging es darum dass im Artikel und der Beschreibung so getan wird, als hätte Firefox hier kein Problem wo der IE eins hat. Das stimmt nicht.

Ich fand es aber interessant über ActiveX, EULA, Historie der Sicherheitsprobleme und über sonstige Ausschweifungen zu plaudern. Gut das DU diese Themen herbeigeholt hast. face-smile
AndiEoh
AndiEoh 30.07.2013 um 17:58:36 Uhr
Goto Top
Zitat von @chfr77:
Es geht mir nicht um einen exemplarischen Flamewar IE vs. Firefox, mir ging es darum dass im Artikel und der Beschreibung so getan
wird, als hätte Firefox hier kein Problem wo der IE eins hat. Das stimmt nicht.

Schau mal nach wer als erstes Flames über andere Browser ins Spiel gebracht hat. ich habe nie behauptet Firefox ist besser als IE, aber in die andere Richtung stimmt es genauso wenig.


Ich fand es aber interessant über ActiveX, EULA, Historie der Sicherheitsprobleme und über sonstige Ausschweifungen zu
plaudern. Gut das DU diese Themen herbeigeholt hast. face-smile

Schön das du was dabei gelernt hast face-wink