News Firefox: Warnung bei TLS-Zertifikaten von Symantec

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.150
@mischaef

Kleine Korrektur:

Bisher werden nur Nutzer des aktuellen Beta-Zweiges auf den Zustand aufmerksam gemacht, mit dem Erscheinen der finalen Version von Firefox 63 am 23. Oktober 2018 werden alle Nutzer eine entsprechende Meldung erhalten.

Es betrifft aktuell nur Nutzer des Nightly-Channels, der Beta channel ist aktuell auf Version 62.X.
 
Das Misstrauen seitens der Mozilla-Foundation gegenüber Symantec rührt aus der Tatsache, dass Symantec in der Vergangenheit nicht selten leichtfertig mit der Vergabe entsprechender Zertifikate umgegangen ist

Was für ein Schwachsinn!
Aber "Lets Encrypt" vertrauen die jedem Kleinkriminellen Zertifikate ausstellen ?
Ist halt schon ein Unterschied zwischen "Sicherheit" und "Verschlüsselung".
 
  • Gefällt mir
Reaktionen: RalphS und poly123
Bei Let's Encrypt wird der Besitzer der Domain überprüft, es werden also nur Zertifikate signiert, wenn man die Kontrolle über die Domain hat. Bei Symantec ist dies nicht der Fall. Sie haben zum Beispiel Intermediate Zertifikate der US Regierung Cross-Signed (NSA?) oder sich nicht an andere Abmachungen zwischen den Browser Hersteller bezüglich Sicherheit gehalten.

Hier eine Liste von Firefox dazu:
https://wiki.mozilla.org/CA:Symantec_Issues
 
  • Gefällt mir
Reaktionen: .fF, CMDCake, ed25519 und 6 andere
leipziger1979 schrieb:
Was für ein Schwachsinn!
Aber "Lets Encrypt" vertrauen die jedem Kleinkriminellen Zertifikate ausstellen ?

Ist völlig egal wem Lets Encrypt Zitate ausstellt, solange der Aussteller prüft ob man den entsprechenden Server auch kontrolliert.
 
  • Gefällt mir
Reaktionen: wupi und gaelic
@leipziger1979
Es geht nicht darum was derjenige mit dem Zertifikat macht - Es geht darum, dass Symanek Zertifikate für Seiten ausgestellt hat, die den Empfängern der Zertifikate nicht gehört haben!

Also wenn du jetzt ein Website leipziger1979.de hättest und Symanek würde für - willkürliches Beispiel - Igor aus Russland ein Zertifikat ausstellen mit dem er deine Seite imitieren kann - Fändest du das gut?
 
  • Gefällt mir
Reaktionen: psYcho-edgE, LukS, wupi und eine weitere Person
Wie qualifiziere ich mich denn eigentlich dafür, dass ich berechtigt bin, entsprechende TLS-Zertifikate auszustellen?

Daran müssteSymantec doch eig. scheitern, oder nicht?
 
@Klosteinmann

Wikipedia schrieb:
Firefox ist die wörtliche englische Übersetzung der chinesischen Bezeichnung huǒ hú 火狐 ‚Feuerfuchs‘. Damit wird im Allgemeinen der Rotfuchs (red fox), aber auch der rotbraune kleine Panda (red panda) bezeichnet. Zunächst wurde der Name gewählt, ohne sich auf eine der beiden Tierarten festzulegen. Der kleine Panda hatte jedoch in den Augen von Designer Jon Hicks keinen besonderen optischen Reiz, daher ließ er sich bei der Gestaltung des Logos von einer japanischen, mit „Firefox“ untertitelten Rotfuchszeichnung inspirieren.

https://hicksdesign.co.uk/journal/branding-firefox
https://web.archive.org/web/2012022...la.org/projects/firefox/firefox-name-faq.html
http://www.bbc.co.uk/nature/life/Red_Panda

@Denniss Steht doch im Artikel: „Bereits im März 2017 hatte Google aufgrund der Vergabepraxis der Zertifizierungsstellen (CA) von Symantec gedroht, im eigenen Chrome-Browser Extended-Validation-Zertifikate von Symantec als weniger sicher einstufen zu wollen.“
 
  • Gefällt mir
Reaktionen: .fF, AIMP, Snudl und 2 andere
Mozilla ist hier nur Nachzügler, andere (Google Chrome) haben meines Wissens bereits das Vertrauen zurecht entzogen und demnach hat jeder seriöse Websitebetreiber dieses schon getauscht. Immerhin ist das kostenlos und relativ schnell erledigt.
Üblicherweise muss man für ein Standardzertifikat nur eine E-Mail Adresse Webmaster@domain besitzen und dort erhält man einen Verifizierungslink. Wenn ich diese Mail besitze, bin ich automatisch in den MX Records hinterlegt und dann gehört mir dir Domäne auch. Lets Encrypt handelt also ordnungsgemäß, während Symantec das nachweisbar nicht immer war
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Ein Witz sondersgleichen. CPU Last dank Verschlüsselung von völlig unwichtigem Content erzeugen.
Wenn die IT Security die Firmen davor schützen soll bleibt nur noch Endpoint Security zum Exzess. Aber da ist quasi dann fast schon zu spät. Welchen Schindluder manche im Rahmen von Verschlüsselung betreiben, wie bei SPDY sieht man ja. Ists den Browser Herstellern wirklich um die Sicherheit oder geht's darum http2.0 noch schneller umzusetzen? War extrem überrascht die Tage zu sehen dass Windows XP und der IE8 quasi schon ein Problem hatten verschlüsselte Foren Websites die jeder einsehen kann zu besuchen.
Manchmal meinst fast hier geht's auch um Obsoleszenz.
Und bitte noch Scheunentore auf der Firewall aufmachen, wenn die dynamische Ports dank Verschlüsselung nicht erkannt werden.
 
@DeusOfWired 2 Uralt Artikel, wobei der erste sogar falsche Informationen enthält. Der Wikipedia-Artikel besagt immernoch das es bei Firefox um den Roten Fuchs geht, da der Designer Jon Hicks nichts besonderes am Roten Panda fand. Wo bleibt mein Roter Fuchs! :cool_alt:
 
@Pitt_G. mein Ironie-Detektor kommt zu keinem eindeutigen Ergebnis. ich hoffe einfach mal, dass es sich um einen Troll-Post handelt :confused_alt:

Anonstens: Alle modernen Prozessoren unterstützen SSL mit Hardware-beschleunigung und wer heute mit Win Xp und IE 8 ins Internet geht, der hat ganz andere probleme, als inkompatible Websites.
Der einzige Grund,w arum man so ewtas tun würde:
 

Anhänge

  • photo_2018-08-27_19-47-01.jpg
    photo_2018-08-27_19-47-01.jpg
    39,7 KB · Aufrufe: 944
  • Gefällt mir
Reaktionen: ed25519, Pat, Kaulin und 2 andere
leipziger1979 schrieb:
Was für ein Schwachsinn!
Aber "Lets Encrypt" vertrauen die jedem Kleinkriminellen Zertifikate ausstellen ?
Ist halt schon ein Unterschied zwischen "Sicherheit" und "Verschlüsselung".

Das mit "Microsoft certified" dürfte ziemlich wertlos sein, aber gut. Zum Thema: Symantec Zertifikate werden schon von Chrome oder Safari ebenfalls nicht mehr als vertrauenswürdig eingestuft. Und zwar aus gutem Grund. Nun zieht FF endlich nach.
Im Endeffekt bleibt zu sagen: alles was von Symantec kommt ist und war Schrott.
 
  • Gefällt mir
Reaktionen: Haldi
Gegenüber Kaspersky ist es nicht anders mit dem "entzogenen Vertrauen".
 
Man muss einfach anerkennen, dass Google mit ihrem Browser das Internet revolutioniert und Dinge vorgibt, die andere sich in 10 Jahren nicht trauen würden. Das Grüne "Sicher" Logo ist per Design bullshit, weil wenn mir die Domäne P0stbank.de gehört, kann ich für diese auch ein Zertifikat ausstellen und dann falsche Sicherheit suggerieren. Es wird Zeit, dass http-Verbindungen gar nicht mehr aufgerufen werden können und bei https das Sicher-Logo verschwindet, sicher es ist nämlich nicht - sondern nur die Formulardaten sind so verschlüsselt, dass nur der original Websitenbetreiber diese wieder entschlüsseln kann.

Zertifikatsanbieter bekommen fürs absolute nichtstun unfassbar viel Geld, die einzige Aufgabe die eine öffentliche Zertifikatsstruktur hat, ist vertrauenswürdig zu sein. Jede WebGUI kann ohne Aufwand eigene Zertifikate ausstellen, die sich nur in der Vertrauenswürdigkeit des Herausgebers unterscheiden. Es ist Priorität A+++ für einen SSL-Zertifikatsanbieter, dass Zertifikate ausschließlich nach Prüfung herausgegeben werden, die IT-Sicherheit höchste Maßstäbe erfüllt und man keine Ausnahmen macht und zwar für niemanden. Dazu noch regelmäßige und unabhängige Audits zum Sicherstellen, dass kein Schindluder betrieben wird. Symantec hat mehrfach hier betrogen und wenn es nach mir gehen würde, wäre Symantec und alle SubCAs dauerhaft nicht mehr vertrauenswürdig. Die sollen dankbar sein um die zweite Chance.
 
  • Gefällt mir
Reaktionen: .fF, Cyroex und psYcho-edgE
Stunrise schrieb:
bei https das Sicher-Logo verschwindet, sicher es ist nämlich nicht - sondern nur die Formulardaten sind so verschlüsselt, dass nur der original Websitenbetreiber diese wieder entschlüsseln kann.

Das ist der einzige Sinn der Zertifikate: https, also eine Sichere Verbindung von Server (Website) und Client (Browser). Es geht dabei NICHT um die Kontrolle der Anbieter und ob diese vertrauenswürdig (dein "sicher") sind.

Zertifikatsanbieter bekommen fürs absolute nichtstun unfassbar viel Geld
Seit letsencrypt ist dieser Satz obsolet.
 
  • Gefällt mir
Reaktionen: Kaulin und psYcho-edgE
Wann Reagiert eigentlich PayPal?!

https://www.paypal.com
This server's certificate will be distrusted by Google and Mozilla from September 2018. MORE INFO »
Google and Mozilla are Deprecating Existing Symantec Certificates

More… schrieb:
www.paypal.com uses an invalid security certificate. The security certificate for www.paypal.com is not trustworthy because the issuing organization failed to follow security practices. Certificates issued by Symantec, including the Thawte, GeoTrust, and RapidSSL brands, are not considered safe.

Error code: MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
 
Zuletzt bearbeitet: (Ergänzung)
  • Gefällt mir
Reaktionen: CMDCake und Snudl
Zurück
Oben