Wie sicher sind SSL Zertifikate von US Firmen?

[NM78]

Der PRISM Skandal bringt einige Leute zum grübeln.

Ich habe von SSL usw. nicht besonders viel Ahnung, deshalb habe ich die Zertifikate bisher einfach beim Provider bestellt und installiert.

Wenn jetzt aber ein Zertifikat von einer US Firma stammt, wer garantiert mir, dass es auch wirklich Sicherheit vor unerwünschtem Zugriff Dritter bietet?

Eigentlich kann das doch nur sicher sein, wenn man selber SSL Zertifikate erzeugt, oder?

 

[TerraX]

...Wenn jetzt aber ein Zertifikat von einer US Firma stammt, wer garantiert mir, dass es auch wirklich Sicherheit vor unerwünschtem Zugriff Dritter bietet? ...

Keiner. Das betrifft aber nicht nur US-CAs. IMHO ist genaugenommen keine CA außer der eigenen mehr vertrauenswürdig.

 

[NM78]

Keiner. Das betrifft aber nicht nur US-CAs. IMHO ist genaugenommen keine CA außer der eigenen mehr vertrauenswürdig.

Aber wenn man selber Zertifikate ausstellt, motzen die Browser dann wieder rum, weil sie gerade nicht vertrauenswürdig sind? Also eigentlich genau das Gegenteil von dem was tatsächlich zutrifft, oder?

 

[Thorsten]

Hallo!

du solltest doch den Fingerprint deines selbst ausgestellten Zertifikates kennen und entsprechend vertrauen können.

mfG
Thorsten

 

[NM78]

Naja, ich schon. Aber was mache ich mit Kunden die meinen Server besuchen und eine verschlüsselte Verbindung wollen? Wie kann ich deren Daten vor unberechtigtem Zugriff schützen? Ich kann denen doch nicht allen erzählen die sollen die Warnung des Browsers ignorieren...

 

[Thorsten]

Hallo!

Die jüngste Vergangenheit hat uns doch gezeigt, dass Daten u.a. in öffentlichen Netzen nicht mehr vor unberechtigtem Zugriff zu schützen sind.

Je nachdem, wer Interesse an deinen Daten hat, wird er mehr oder weniger Aufwand betreiben müssen, um an diese Daten zu kommen.

Um deine Frage zu beantworten: Letztlich müssen deine Kunden entscheiden, ob sie dir mehr trauen als CA XYZ. Eventuell kannst du ihnen den technischen Hintergrund erklären - eventuell auch nicht.

mfG
Thorsten

 

[elias5000]

Die Zertifikate sind so sicher wie der zugehörige private Key. Beim Rest geht es um Trust. Und da kann man mit einer CA aus USA genauso gut Zertifikate für xyz.de ausstellen wie mit einer chinesischen oder einer Intermediate-CA aus nem Uni-RZ.

Die Sache mit dem Trust ist eh hinfällig, solange das SSL-System nicht ausreichend gefixt wird. Im aktuellen Zustand ist nur die Verschlüsselung zu gebrauchen.

Und da ist §1, dass man den Key immer selber erzeugt und nicht von der CA erzeugen lässt. Womöglich noch mit einem Aufbewahrungs-Service für den Fall, dass man den Key mal verliert...

 

[NM78]

Danke für Eure Antworten!

Also gibt es im Moment keine wirklich brauchbare Lösung. Ich kann nicht jedem Kunden, der vielleicht selber kaum PC Kenntnisse besitzt erklären, dass er die Browserwarnungen ignorieren soll.

Abhilfe würden hier nur andere Hinweise der Browser bieten.

Aber warum machen das die Browser Entwickler nicht? Sind die alle fremdgesteuert und haben kein Interesse daran selbst ausgestellte Zertifikate anzuerkennen? Oder wird unterm Strich damit zu viel Schindluder getrieben?

 

[elias5000]

Aber warum machen das die Browser Entwickler nicht? Sind die alle fremdgesteuert und haben kein Interesse daran selbst ausgestellte Zertifikate anzuerkennen?

Ich glaube gerade die OSS-Browser finanzieren einen Großteil der Entwicklung mit den eingenommenen Schutzgeldern für die Aufnahme der Root-Zertifikate in den Browser.

 

[PapaBaer]

haben kein Interesse daran selbst ausgestellte Zertifikate anzuerkennen?

Und wenn sich ein anderer selbst ein Zertifikat für deine Domain ausstellt?

SSL ist leider im jetzigen Zustand broken by design. Es ist vollkommen egal, wie teuer und sicher du dein Zertifikat ausstellen lässt. Wenn es jemand anderes schafft ein Zertifikat für deine Domain zu erstellen, hast du verloren. Wie dieser
Andere ein Zertifikat erhält, ob er eine schlechte CA crackt, eine Intermediate CA missbraucht oder schlicht als staatliche Institution sowieso Zugriff auf eine CA hat, ist vollkommen irrelevant.

Daher: geh zur billigsten CA die du bekommen kannst (im Moment soweit ich weiß StartSSL). Damit hast du SSL ohne Warnungen bei deinen Usern. Lebe mit der Situation, du kannst sie im Moment nicht ändern oder verbessern.