Haupt Software Zertifikate hoch! Apple und Google nehmen Zertifikate ernster
Software

Zertifikate hoch! Apple und Google nehmen Zertifikate ernster

Wenn wir uns 2017 nähern, beschweren sich Browser mehr über die Sicherheit von faulen Websites, aber es war noch nie einfacher, sich zu vergewissern, dass Sie sicher sind.VonGlenn Fleischmann,Leitender Mitarbeiter, 15. November 2016 20:20 Uhr PST Sicherheit des SSL-Vorhängeschloss-Symbols Peter Sayer/IDG

Ich war naiv und dachte, dass viele der Probleme im Zusammenhang mit der Sicherheit von Webbrowsern/Servern mit einigen erheblichen Änderungen gelöst werden würden, denen die Hersteller von Betriebssystemen, Entwickler von Nicht-OS-Browsern und die Parteien, die die Überprüfung anbieten, sogenannte Zertifizierungsstellen (CAs), zustimmen. , die am 1. Januar 2016 stattfand.

Oh, wie jung und töricht war ich doch. Aber es sind echte Verbesserungen eingetreten, und gegen Ende 2016 haben Sie vielleicht schon gesehen, wie Browser Sie bei Problemen mit den Zertifikaten, die von einem Server übergeben werden, mit aussagekräftigeren – und teilweise präskriptiven – Warnmeldungen ausgeben an einen Browser, um eine sichere Verbindung herzustellen. In einigen Fällen wurden Sie möglicherweise bereits für eine Verbindung gesperrt oder müssen eine Ausnahme genehmigen, um fortzufahren.

Das ist alles gut, zum Teil, weil es verhindert, dass Ihre Informationen von böswilligen Parteien erfasst oder durch weitreichende, manchmal illegale staatliche Abhörmaßnahmen – jedes Land, nicht nur Ihr eigenes – mitgerissen werden, und zum Teil, weil in diesem Jahr noch mehr passiert ist, insbesondere In letzter Zeit müssen Sie keine Änderungen vornehmen, um den Vorteil zu erhalten.



Es wird nicht nur geschnüffelt. Dummköpfe mit der richtigen Netzwerkposition, einschließlich Malware, die auf, ähem, Nicht-Macs und Nicht-iOS-Geräten in einem lokalen Netzwerk installiert ist, können sich in eine ungesicherte Verbindung einfügen und einen virenbeladenen Download einlegen, anstatt einen legitimen, von dem Sie dachten, Sie würden ihn abrufen, neben anderen bösen Tricks. Dies war mit dem weit verbreiteten Sparkle-Update-Framework möglich, da es gepatcht wurde. Einige Entwickler hosten ihre Software-Downloads jedoch immer noch auf unverschlüsselten Servern.

Apple entfernt eine CA, wie andere auch

Die Webverschlüsselung erfordert, dass Browser- und Betriebssystemhersteller Zertifizierungsstellen vertrauen, die geschützte kryptografische Elemente verwenden. Wenn ein von Ihnen besuchter Webserver ein Zertifikat präsentiert, das den Server als mit einem bestimmten Domänennamen verknüpft identifiziert, können Sie sicher sein, dass es sich um eine legitime Zuordnung handelt. Das ist Teil des Vertrauensnetzes und erfordert, dass Browser- und Betriebssystemhersteller sowie Zertifizierungsstellen mit Integrität und Transparenz handeln.

Einige Zertifizierungsstellen versagen bei der Sicherheit, bei ihrem Verfahren, Resellern die Ausstellung von Zertifikaten zu ermöglichen, oder bei der einfachen Ethik. Es ist selten, aber CAs können aus den vertrauenswürdigen Root-Programmen von Apple, Google, der Mozilla Foundation und anderen gebootet werden. (Sie finden eine gute Zusammenfassung von Root Trust auf der Website von Chromium Projects.)

Im April 2015 habe ich Apple angegriffen, weil ich CNNIC, eine chinesische Zertifizierungsstelle, die anscheinend gegen Sicherheitsrichtlinien verstößt, nicht fallen lassen hatte. Mozilla und Google haben schnell gehandelt und CNNIC eingestellt; Apple und Microsoft haben nichts unternommen. (Microsoft hat einen schwachen Sicherheitshinweis ausgegeben.)

Als sich im September eine Situation ergab, handelte Apple mit größerer Eifer. Die Mozilla Foundation entdeckte vor einigen Wochen, dass die CA WoSign eine Reihe von technischen und Managementproblemen hatte, die in einem Mozilla-Blogpost beschrieben wurden. WoSign firmierte unter eigenem Namen und hatte auch StartCom übernommen, einen Zertifikatsaussteller, auf den ich mich für meine SSL/TLS-Webzertifikate verlassen habe. (Du kannst alle Details lesen in Mozillas Blogeintrag.)

Eines dieser Probleme war die Ausstellung und Rückdatierung von Zertifikaten, die mit SHA-1 signiert wurden, einem veralteten Verschlüsselungsalgorithmus, dem die CAs nach jahrelangem Drängen von Mozilla und anderen vertrauenswürdigen Root-Betreibern zugestimmt hatten, die Ausstellung einzustellen. Da SHA-1 als defekt gilt, was bedeutet, dass böswillige Parteien ein scheinbar gültiges Zertifikat fälschen können, musste es nicht mehr verwendet werden. (Ich habe im Dezember 2015 über die Einzelheiten von SHA-1 geschrieben.)

USB formatieren, um auf Mac und PC zu arbeiten

Mozilla legte einen ausführlichen Bericht vor , da die Stiftung gemeinschaftsorientiert und transparent arbeitet. WoSign antwortete, und Mozilla bewertete seine Antworten als inakzeptabel und zog WoSign und StartCom zum 21. Oktober von seiner vertrauenswürdigen Liste.

Apple folgte diesem Beispiel ziemlich öffentlich: indem er ein paar Textabsätze bei . platzierte oben auf seiner Webseite das seine vertrauenswürdigen Stammzertifikate auflistet Anfang Oktober . Google hat länger gebraucht, endlich eine Aussage machen und planen Ende Oktober. Microsoft hat sich nicht eingemischt.

Das ist ein gutes Zeichen, obwohl Microsoft hier wie vor 18 Monaten enttäuschend und überraschend hinter dem Achter bleibt.

In Safari, Firefox, Chrome und einigen anderen Browsern – aber nicht im Internet Explorer – Aufrufen einer Site, die durch ein von WoSign oder StartCom signiertes Zertifikat geschützt ist, das an Ort und Stelle bleibt erzeugt eine Sicherheitswarnung .

Mehr Warnungen, weniger Sorgen

Wie ich über ein paar Jahre geschrieben habe, haben Browser-Entwickler die Art und Art der Warnungen erhöht, die angezeigt werden, wenn Sie auf eine Site zugreifen, die ineffektive oder schlecht konfigurierte Sicherheit verwendet. Dazu gehört jede Webseite, die reines http verwendet, das alle Daten zwischen einem Browser und einem Server als unverschlüsselten Text sendet, im Gegensatz zu https, das SSL/TLS-verschlüsselte Verbindungen verwendet.

privatei cert warnung chrom

Die zukünftige Chrome-Warnung von Google zu allen ungesicherten Seiten ist schwerwiegend.

Ab Januar 2017 Google Chrome beginnt mit der Anzeige der Wörter Nicht sicher im Klartext neben einer URL für eine erkannte http-Seite verwendet ein Formular, um ein Passwort oder Kreditkarteninformationen zu sammeln. Google plant, nach und nach auf allen unverschlüsselten Seiten ein rotes Warndreieck und Nicht sicher anzuzeigen. Es wurde anstelle eines Symbols in den Begriff 'Nicht sicher' verschoben, da seine Produktmanager gefunden haben Die meisten Leute wissen nicht, was das Warnsymbol bedeutet .

Ruhiger, Chrome anscheinend auch jetzt leitet Anfragen an eine sichere Version einer Website weiter wenn mehrere identische Versionen mit unterschiedlichen Namen existieren.

Möglicherweise werden in Safari mehr routinemäßige Warnungen angezeigt, wenn dies der Browser Ihrer Wahl ist. Ich weiß, dass ich regelmäßig Warnungen zu Zertifikatsproblemen erhalte, wenn ich eindeutig veraltete Websites besuche: Der Inhaber der Website hat ein Zertifikat nicht aktualisiert, gibt ein Zertifikat für eine Domain aus, die nicht in ihrem Sicherheitsdokument aufgeführt ist, oder ein weiterer Fehler, der mich dazu bringt, innezuhalten und mich zu fragen, was los ist. Früher habe ich die Methode von Safari verwendet, um ein fehlerhaftes Zertifikat zu umgehen, vorausgesetzt, das Web lief einfach so, aber nicht mehr. Ich versuche, das Problem dem Web-Eigentümer zu melden oder die Informationen an anderer Stelle zu finden.

Webhosting-Dienste und andere Möglichkeiten, um Material im Web zu veröffentlichen, wurden nach und nach dazu übergegangen, standardmäßig und kostenlos https anzubieten. Zum Beispiel, Squarespace hat gerade angekündigt es würde Zertifikate für alle seine Kunden mit benutzerdefinierten Domänen umdrehen, und seine Benutzer könnten sogar eine https-Verbindung zur erforderlichen Methode machen. ( Lass uns verschlüsseln half Squarespace; das Projekt bietet kostenlose Basiszertifikate, und ich habe alle meine SSL auf ihre umgestellt.)

Bessere Browserwarnungen, die Beseitigung veralteter Verschlüsselung und eine allgemeine Umstellung auf standardmäßig gesicherte Websites, unabhängig vom Inhalt der Website, haben die https-Nutzung nach oben getrieben. Google hat gesicherte Verbindungen über Chrome nach Plattform verfolgt, und die Hälfte der Seiten, die von Desktop-Chrome-Benutzern im Oktober geladen wurden, sind über https, ein Anstieg von etwa 10 Prozent in nur wenigen Monaten.

Letztendlich wird das gesamte Web verschlüsselt und nicht um der Paranoia willen. Durch die Reduzierung von Einfüge- und Abhörpunkten können Sie Ihr Online-Leben sicherer gestalten, egal ob es darum geht, dass andere Ihre Lesegewohnheiten, Ihre Freunde – oder Ihren politischen Aktivismus verfolgen.