Schwachstelle ? / Zertifikatsprobleme ? - FF & Bitdefender

R

Rukola

New Member
Mir ist da etwas kurioses aufgefallen.... Ich nutze FF V. 34 und seit ein paar Tagen Bitdefender Total Security 2015. Bei meinem Webserver habe ich "perfect forward secrecy" aktiviert und der Test bei SSL-Labs gibt auch ein "A" aus.

Nun habe ich einmal beim FF die Zertifikatsinfos anzeigen lassen. Dort taucht nun als Zertifizierungsstelle Bitdefender auf und es wird mit einem schwachen Verfahren OHNE perfect forward secrecy gearbeitet.

Zuerst dachte ich an ein Problem mit dem Webserver, aber wenn ich im Bitdefender die SSL Überwachung abschalte, dann ist alles wieder hochgradig verschlüsselt inkl. PFS.

Jetzt stelle ich mir die Frage ... schaltet Bitdefender auf eine niedrige Sicherheit weil er es sonst nicht überwachen kann und hebelt so die gesamte Sicherheit indirekt aus ? Das wäre ja totaler Mist :(
 
Du nimmst an, dass die angezeigte "Sicherheitsstufe" die zwischen Deinem Rechner und Deinem Server ist.
Bitdefender fungiert hier aber lediglich als Proxy und da er lokal läuft, würde ich auf die dort angezeigten Daten nicht viel geben, da Verschlüsselung erst dann Sinn macht, wenn die Pakete Deinen Rechner verlassen.
Von daher dürfte der dort angezeigte Verschlüsselungshinweis eher generisch sein, damit Browser Ruhe geben und der Nutzer trotz Proxy sehen kann, dass die Verbindung verschlüssel ist.

Interessanter wäre, was zwischen dem Proxy und Deinem Server "verhandelt" wurde, da würde ich einfach mal in die Serverlogs schauen.
 
Last edited by a moderator:
Damit Bitdefender eine HTTPS-Verbindung scannen kann (für andere Antiviren-Produkte gilt das genauso), muß er diese entschlüsseln. Dies geht nur, wenn er selber die Verschlüsselung aushandelt. Die Verbindung zwischen Browser und Bitdefender muß dann separat verschlüsselt werden, was man auch an der Bitdefender-Zertifizierungsstelle sieht. Es ist nun gut möglich, dass Bitdefender hier für eine einfache Verschlüsselung nimmt, um ein wenig Rechenleistung zu sparen.
Allerdings habe ich erst kürzlich gelesen (entweder in der c't oder im Heise-Newsticker), dass eine AV-Suite da ordentlich gepatzt hat und nicht die stärkste mögliche Verschlüsselung zur Server ausgehandelt hat, sondern nur eine relativ schwache. Ich weiß aber auch nicht mehr, um welches Produkt es sich genau gehandelt hat - daher finde ich die Info auch nicht wieder.
Daher kannst du im Prinzip auf dem Server überprüfen, ob deine Verbindung trotz Bitdefender ordentlich verschlüsselt wird.
 
Manche Sicherheitssuiten auf den PCs benutzen nur 1024bit und weichere Chiffren oder gar nur TLS 1.0, schleusen Zertifikate ein, die in manchen Programmen nur Probleme machen.

Wer es als sinnvoll erachtet, sichere Verbindungen aufzuweichen, kann das gern tun.

Wozu man HTTP-Verbindungen über SSL mit Virenscannern aufbrechen und scannen muss, ist mir eher ein Rätsel; davon mal abgesehen, das man sich Malware über Drive-By-Downloads über Nicht-SSL holt.
Aber vielleicjht erhellt ja jemand mein Hirn, welchen Vorteil der Scan von SSL bei Browsern haben kann.
 
GwenDragon said:
Aber vielleicjht erhellt ja jemand mein Hirn, welchen Vorteil der Scan von SSL bei Browsern haben kann.
Click to expand...
Die AV-Hersteller haben ein weiteres Produkt, mit dem sie Kunden Geld aus der Tasche ziehen können.
Angesichts dessen, dass man sowieso einen On-Access-Scanner im Hintergrund laufen hat, dürfte der Sicherheitsgewinn die Probleme nicht aufwiegen - ganz besonders vor dem Hintergrund, dass bei SSL auch die Aufmerksamkeit des Benutzers gefordert ist und bei dem Man-in-the-middle-Scanner genau die Information vor dem Benutzer versteckt wird, der diese Aufmerksamkeit gelten sollte.
 
GwenDragon said:
Wozu man HTTP-Verbindungen über SSL mit Virenscannern aufbrechen und scannen muss, ist mir eher ein Rätsel; davon mal abgesehen, das man sich Malware über Drive-By-Downloads über Nicht-SSL holt.
Click to expand...

Das mag momentan noch der gängige Weg sein, aber z.B. Google will ja nicht SSL-verschlüsselte Seiten in seinem Index mit einem schlechteren Ranking abstrafen, so dass zukünftig wohl mit mehr verschlüsselten Webseiten zu rechnen ist. Und damit es beim Drive-by-Download keine Warnung über unsichere Inhalte gibt, müßte die Schadsoftware ebenfalls per SSL übertragen werden -> also würde ein Scan Sinn machen.
Allerdings sehe ich bei der ganzen Geschichte auch einen weiteren Nachteil (zusätzlich zu den schon genannten) - was macht die Security-Suite, wenn sie auf ein selbstsigniertes Zertifikat trifft?
Ich sehe derzeit für mich persönlich die Möglichkeit, Zertifikate und Verschlüsselungsoptionen im Browser überprüfen zu können, als wichtiger an, als das die verschlüsselten Webseiten gescannt werden und daher ist das HTTPS-Scanning in meinem Avast (freie Version) aus.
 
@Danton

So einen Beitrag habe ich heute bezüglich dem aufweichen der Sicherheit in Bezug auf Bitdefender im Netz gefunden. Da gab es wohl vor ein paar Jahren ein erhebliches Problem mit (bei Chip gefunden), aber keine Info ob gefixt.

---

Ansonsten habe ich den SSL-Scan nun ganz deaktiviert. Sehe auch keinen echten Gewinn in der Funktion.

Stichwort selbstsigniertes Zertifikat ... Da macht das Teil dicht ! Für meinen Adminzugang nutze ich bevorzugt ein eigenes Zertifikat und das wurde von Bitdefender direkt geblockt :) Also noch nicht einmal die Möglichkeit über den üblichen Weg der Ausnahme im Browser hat das funktioniert.
 
Mich würde mal interessieren, ob Bitdefender auch auf zurückgezogene Zertifikate prüft. Im Hinblick auf eventuell zukünftig steigende Malware-Verbreitung über gesicherte Verbindungen ist es ja nicht ganz uninteressant, wenn nur für diesen Zweck verwendete Zertifikate widerrufen werden.
Der Browser kann es ja nicht mehr testen, was macht dann also die Security-Suite?

Magst du einmal testen, was der Scanner macht, wenn er auf diese Seite trifft? :)
https://revoked.grc.com/
Meine Browser lassen mich das nicht öffnen, weil das Zertifikat widerrufen wurde...


Nachtrag:
NOD32 kann auch HTTPS prüfen (oder generell TLS-Gesicherte Verbindungen), das muss man aber scheinbar explizit aktivieren.
Und der scheint die Ciphers 1:1 zu übernehmen, bei den meisten Seite bekomme ich ECDHE-Suiten im Browser angezeigt.
Leider nutzt er kein OCSP und lässt mich daher auch Seiten mit gesperrten Zertifikaten aufrufen :(
 
Last edited by a moderator:
Ja, lässt bei der von dir genannten Page das Zertifikat ungeprüft.

Der Schlüssel der unten angezeigt wird ist übrigens der, der für alle Seiten genutzt wird und PFS ist halt deaktiviert. Ich selber nutze eine ECDHE 256 bit, der nur durch kommt, wenn SSL-Scan deaktiviert.

Habe übrigens ein Ticket erstellt. Bin auf die offizielle Antwort gespannt.

ps. Über die generelle Thematik mit den Scannern finde ich so gut wie nichts im Netz. Wundert mich etwas, da es doch ein wichtiger Punkt ist was die Software da so macht oder besser nicht macht ;)
 

Attachments

  • ffbit.jpg
    ffbit.jpg
    65.6 KB · Views: 201
Last edited by a moderator:
Der Heise-Link war der Artikel, denn ich in meinem Posting oben nicht nicht gefunden hatte. Und was der Sache noch einen zusätzlichen bitteren Beigeschmack gibt, ist die Tatsache, dass der Patzer ausgerechnet einem passiert, der sich gerne als einer der Marktführer in diesem Bereich sieht.
Ich persönlich halte mich an das, was die c't verschlägt: Einen guten Virenscanner mit Verhaltenskennung installieren und gut ist. Spams filter mein Server schon aus und eine Firewall hat Windows schon an Bord - da kann eine zusätzlich installierte die Sicherheit sogar verringern, da diese oft die Netzwerkerkennung von Windows nicht beachtet und schon sind die offenen Port aus dem Heimnetzwerk auch am WLAN-Hotspot aktiv.´Weniger ist halt manchmal doch mehr...
 
You must log in or register to reply here.
Back
Top