Re: SSL Content Scanning?

Jan Lühr <jluehr@xxxxxxx>:
> ja hallo erstmal,...
>
> Florian Weimer wrote:
>
>> * Georg Schwarz:
>>
>>> Es gibt eine Reihe von Herstellern, die behaupten, Ihre
>>> Webproxy-Lösungen können SSL-verschlüsselten Verkehr auf z.B. bösartige
>>> Inhalte untersuchen.
>>
>> Ja, MarketScore zum Beispiel.
>>
>>> Wie funktioniert dies?
>>
>> | Auch vermeintlich durch eine SSL-Verbindung zum Glossar geschützte
>> | Daten sind bei der Nutzung von "Surf-Turbos" einiger Anbieter nicht
>> | vor unbefugtem Mitlesen sicher, da die verschlüsselte Verbindung auf
>> | dem Proxy-Server des Anbieters aufgebrochen wird. Es besteht dann
>> | keine direkte verschlüsselte Verbindung zwischen dem Browser des
>> | Anwenders und dem Server der besuchten Webseite, sondern der
>> | Datenstrom wird auf dem Proxy-Server entschlüsselt und anschließend
>> | erneut verschlüsselt. Dies geschieht für den Anwender unbemerkt, da
>> | bei der Installation der Software ein zusätzliches Zertifikat des
>> | Anbieters installiert und automatisch in die Liste der
>> | vertrauenswürdigen Zertifikate zum Glossar aufgenommen wird. Der
>> | Internet-Browser zeigt dadurch keine Warnmeldung, dass die
>> | verschlüsselte Verbindung nicht zwischen dem PC des Anwenders und dem
>> | Server der besuchten Webseite (zum Beispiel einer Online-Bank),
>> | sondern lediglich bis zum Proxy-Server des Anbieters besteht.
>
> Wie bitte soll das gehen? SSL ist mehr als nur Verschlüsselung - es
> garantiert auch den Kommunikatonspartener. Mit einem Proxy wäre SSL
> eigentlich sinnlos, da dieser Teil wegfällt - schlimmer noch, ich habe gar
> keine Möglichkeit die Identität der Seite festzustellen.
>
> Und so einen Müll kauft ernsthaft wer?

Du verwendest einen Brauser, der irgendwelchen Dahergelaufenen
komerziellen CAs vertraut. (Die Liste z.B. beim Mozilla, wie du ihn
von Mozilla.org herunterladen kannst, ist bereits voller
unzuverlaessiger Spackenvereine, denen du jedoch per Default vollstes
Vertrauen entgegenbringst).

Wen stoert das also, wenn irgendwelche weiteren dubiosen CAs dort
zusaetzlich als "vertrauenswuerdig" installiert werden. Den DAU
bestimmt nicht. Der denkt "SSL, alles Sicher !!1!eins"

Zertifikate pruefe ich mittlerweile nicht mehr ueber CA zerts, sondern
nur noch Outband ueber den Fingerprint.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Router-to-Router VPN ... ich werd noch wahnsinnig
    ... Und in beiden werden IPSec und Computer Zertifikate automatisch verteilt an alle Maschinen! ... jetzt habe ich für beide Router bei ihrer Zertifizierungsstelle ein "Router "-Zertifikat angefordert und installiert. ... Beide Router kennen beide Stammzertifizierungsstellen und die Verbindung funktioniert, ...
    (microsoft.public.de.german.windows.server.networking)
  • 2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten
    ... Zertifikate an die Benutzerkonten der Schnittstellen gemappt. ... eine Verbindung zwischen dein Dial-on-demand Schnittstellen ...
    (microsoft.public.de.german.windows.server.networking)
  • Re: https Aufruf hat manchmal "timeout" - ISA2004
    ... immer abwechselnd die Meldungen initiierte Verbindung und Verbindung getrennt. ... SSL kann man in der ISA Konfiguration auch auf http umleiten. ... Hab auch schon direkt über unsere Hardwarefirewall https getestet. ...
    (microsoft.public.de.german.isaserver)
  • Re: Passwort im Klartext übertragen?
    ... Eine Verschlüsselung der übertragenen Daten schliesst das ... SQL Standardauthentifizierung basiert wiederum auf relativ ... >> SSL nützt dafür nichts. ... Um eine sichere Verbindung aufzubauen ...
    (microsoft.public.de.sqlserver)
  • Re: SSL Content Scanning?
    ... da die verschlüsselte Verbindung auf ... | dem Proxy-Server des Anbieters aufgebrochen wird. ... | Anwenders und dem Server der besuchten Webseite, ...
    (de.comp.security.misc)