Der Zweck von SSL ist die sichere Kommunikation zwischen einem Client
und einem Server. Ich habe nun über Plesk ein SSL Zertifikat erstellt
und dieses selbst signiert.
Die Browser laufen Amok. In riesigen Lettern steht dort, daß das
Zertifikat nicht vertrauenswürdig sei.
Chrome macht dies besonders deutlich; gebe ich meine Domain mit HTTPS
ein, erscheint ein rot hinterlegter Hinweistext, daß dieses Zertifikat
nicht vertrauenswürdig sei. Anschließend wird das Schloß mit einem roten
Kreuz versehen und HTTPS angezeigt und bewußt rot durchgestrichen, wenn
ich trotzdem fortfahre. Aber wenigstens zeigt Chrome an, daß die
Verbindung mit 256 Bit verschlüsselt ist.
Zahlt man nun für ein Zertifikat eine nicht geringe Summe, erscheint
diese Meldung nicht und ein grüner Balken taucht auf.
Vertrauenswürdig.
Der Zweck des SSL-Zertifikates - die Verschlüsselung des ausgetauschten
Informationsgehaltes - ist damit nicht abgedeckt, man zahlt quasi für
nichts.
Früher habe ich das System nie als Anbieter verwenden müssen, heute wird
mir klar, wie perfide dieses Zusammenspiel zwischen
Browserprogrammierern und Zertifikatsherstellern ist. Ganz zu schweigen
davon, daß die pauschale Titulierung als "nicht vertrauenswürdig"
abmahnfähig ist - ich spreche da aus Erfahrung.
Man könnte jetzt ewig darüber diskutieren, aber letztenendes sind diese
Nachrichten den potentiellen Kunden ausreichend, um meine Firma als
tatsächlich nicht vertrauenswürdig einzustufen, weil sie nicht wissen,
was Zertifikate eigentlich bedeuten. Wenn mir mein Browser anzeigt, daß
eine Seite nicht vertrauenswürdig ist, dann besuche ich sie natürlich
nicht weiter.
Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite
zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist.
Wie könnte ich diese Seite formulieren, so daß der Nutzer bei gerade
meiner Seite diese Warnung überspringt?
Oder sollte ich einfach komplett auf die Verschlüsselung verzichten,
nachdem dann auch keine Warnung erscheint und die wenigsten Nutzer auf
HTTPS vermutlich achten.
Ich habe mir natürlich darüber bereits weitere Gedanken gemacht, will
diese aber nicht weiter nennen, da ich die Ergebnisse nicht beeinflussen
möchte.
Sucher schrieb:> Der Zweck des SSL-Zertifikates - die Verschlüsselung des ausgetauschten> Informationsgehaltes - ist damit nicht abgedeckt, man zahlt quasi für> nichts.
Das ist nicht der alleinige Zweck. Authentifizierung ist genau so
wichtig, denn sonst gäbe es keinen Schutz gegen Man in the middle -
Attacken.
Wieso zahlt man für nichts? Du zahlst für die Authentifizierung. Genau
dafür sind Zertifikate da. Ansonsten könnten man einfach einen
unsignierten DH-Austausch machen und hätte eine verschlüsselte
Verbindung.
Verschlüsselung ohne Authentifizierung bringt dir aber gar nichts weil
du nicht weißt mit wem du Infos austauscht.
Deine Idee mit der vorgeschalteten Webseite ist kompletter Quatsch.
gruß cyblord
Sucher schrieb:> Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite> zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist.
Genau dieses Verhalten ist es, was dazu führt, dass User dazu
konditioniert werden, die durchaus wichtigen Zertifikatswarnungen zu
ignorieren. Dass teilweise selbst Banken solche Anweisungen verwenden
macht die Sache nicht besser.
> Wie könnte ich diese Seite formulieren, so daß der Nutzer bei gerade> meiner Seite diese Warnung überspringt?
So wie der böse Wolf nach dem Kreidefressen den Geißlein versichert,
nicht der Wolf zu sein. Du willst den einzigen Mechanismus umgehen, der
dazu geeignet ist, dem User die Identität des Servers zu beweisen. Und
dann willst Du Deine Identität glaubhaft machen. Fail.
> Oder sollte ich einfach komplett auf die Verschlüsselung verzichten,> nachdem dann auch keine Warnung erscheint und die wenigsten Nutzer auf> HTTPS vermutlich achten.
Und die, die darauf achten machen einen großen Bogen um die Seite,
spätestens wenn es um z.B. Zahlungsabwicklung geht. Aber ja, Du solltest
auf SSL verzichten, das wäre ehrlich. Denn mit dem selfsign-Müll
täuschst Du nur Sicherheit vor. Verschlüsselung ohne Authentifizierung
ist wertlos.
Die Browser haben recht: selbst signierte Zertifikate sind nicht im
geringsten vertrauenswürdig. Bleibt zu hoffen, dass irgendwann die
Möglichkeiten zum Ignorieren dieser Warnungen abgeschafft werden.
Wenn Du mit der Seite Geld verdienen willst, musst Du diese Kosten eben
einplanen. Wenn das Ganze nichtkommerziell ist, besorg Dir wenigstens
ein Zertifikat von CAcert.org das kostet nichts und wenigstens müssen
User die wissen was sie tun dann nur EIN Zertifikat installieren, statt
einem für jede Seite mit selbstsigniertem Schrott.
Sucher schrieb:> Meine Idee ist nun, vor dem Laden der HTTPS-Seite eine Informationsseite> zu schalten, die darauf hinweist, daß dieses Verhalten zu erwarten ist.
Dann weiss jeder Kunde, dass du dir das Geld fuer ein anstaendig
signiertes Zertifikat sparen willst und sucht sich moeglicherweise einen
anderen Anbieter.
Wie Uhu Uhuhu schon bemerkt hat, ist nicht die Verschluessung der
Unterschied, sondern die Authentizität. Wenn ueber deine Webseite
Kreditkarteninformationen uebertragen werden, wer garantiert dem
Anwender, dass er wirklich in deinem Webshop ist ?
Wenn das Geld für das Zertifikat ein Problem ist:
http://www.startssl.com/
Dort gibts die Zertifikate kostenlos und die werden trotzdem von fast
allen Geräten akzeptiert.
Du könntest ja auch einfach dein Zertifikat online stellen, dann können
es die leute als Vertrauenswürdig einspielen und schon ist die Rote
meldung weg.
Wir machen das auch in der Firma so, dort aber mit Client und Server
Zertifikaten. Wir haben uns einfach ein eigenen Root anglegt und dieses
spielt der Kunde bei sich ein. Danach kann er ohne fehlemeldung auf
unsere Server zugreifen.
Marcus Kunze schrieb:> Du könntest ja auch einfach dein Zertifikat online stellen
Ist aber Unsinn. Das Zertifikat hat der "Browser" ja man müßte die
Echtheit halt prüfen über den Hash welchen man über einen "sicheren"
Kanal erhalten hat.
Sucher schrieb:> Der Zweck des SSL-Zertifikates> - die Verschlüsselung des ausgetauschten> Informationsgehaltes
Für die Verschlüsselung ist kein Zertifikat verantwortlich, der Zweck
ist das sicherstellen einer vertraulichen Kommunikation.
Sucher schrieb:> ich spreche da aus Erfahrung
Uhhhhhhhhhh.... Dan verklag doch Mozilla und Microsoft das sie das für
DEINE Server den Warnhinweis ausblenden.
Sucher schrieb:> Zahlt man nun für ein Zertifikat eine nicht geringe Summe
Echte Zertifikate gibt es ab 19 € das sind knapp 1,60€ pro Monat, wenn
es dir das nicht wert ist verzichte halt drauf, aber eine
Pseudosicherheit vorzutäuschen macht keinen Sinn. Viele Anbieter haben
auch eine extra SSL Adresse über welche man die Domain per SSL erreichen
kann ohne "Warnhinweis" dafür aber auch ohne Authetizität.
>Wie Uhu Uhuhu schon bemerkt hat, ist nicht die Verschluessung der>Unterschied, sondern die Authentizität. Wenn ueber deine Webseite>Kreditkarteninformationen uebertragen werden, wer garantiert dem>Anwender, dass er wirklich in deinem Webshop ist ?
Zumindest weis man aber nach ein paar Tagen, das noch der Selbe
dahinterhängt, wenn das Zertifikat gleich bleibt (sofern er nur Umleitet
und nicht komplett eingebrochen ist)
Damit hat man nur noch das Risiko, bei ersten Betreten der Seite etwas
gefälschtes abzubekommen (Wenn wir mal davon ausgehen, das die
Originalseite recht schnell wieder Online geht). Alle, die die Seite im
Originalzustand betreten und das Zertifikat Akzeptiert haben, werden
gewarnt, wenn es sich ändert. - Dann allerdings herauszufinden, ob die
Änderung vom Besitzer der Seite ist, ist zugegebenermaßen nicht
möglich...
Gerd E. schrieb:> Wenn das Geld für das Zertifikat ein Problem ist:> http://www.startssl.com/
Da steht 1 Jahr gültig. Was mache ich nach dem Jahr, muß ich dann ein
Zertifikat von denen kaufen?
Sucher schrieb:> Da steht 1 Jahr gültig. Was mache ich nach dem Jahr, muß ich dann ein> Zertifikat von denen kaufen?
Nö. Dann holst du ein neues, falls es startssl dann noch gibt.
Ich sehe ein, dass mein letzter Post vielleicht "nicht ganz so
formuliert war, wie er hätte sein sollen"...
Dein grundsätzliches Anliegen ist verständlich und durchaus berechtigt.
Mafiajägers Aussage
> Warum sollte man die SSL Mafia weiter unterstützen ?
würd ich so durchaus auch unterschreiben.
Der Beißreflex richtete sich gegen den vorgeschlagenen Lösungsansatz.
Das aus Erfahrung als Admin, der sich regelmäßig die Hände über dem Kopf
zusammenschlägt, wenn User ohne technisches Hintergrundwissen
leichtsinnig und vollautomatisiert die diversen Warnungen wegklicken. In
diese Wunde hast Du vermutlich ohne den geringsten Hauch böser Absicht
geschlagen. Sorry, hätte ich sachlicher machen sollen.
Ja, es gibt da ein grundsätzliches Problem, wie SSL auch festgestellt
hat:
> Hast du schon mal in deine Root-CA Liste im Browser gesehen wem du da> vertraust ?>> Sinnvoll wäre es aus meiner Sicht, das "Vertrauen" feiner abzustufen.
Volle Zustimmung.
Sollte es eine Lösung geben, die das Problem der Authentifizierung löst,
ohne auf eine PKI-Struktur mit all ihren Auswüchsen angewiesen zu sein,
wie sie derzeit existiert, wäre das fantastisch. Ansätze, die auf ein
Web of Trust o.ä. setzen, sind leider mit der Mehrzahl der normalen
Anwender nicht zu machen. Aus reinem pragmatismus und nur deshalb
plädiere ich daher dafür, solange das eben so ist, bitte bitte bitte in
den sauren Apfel zu beißen anstatt das bisschen Sicherheit, das wir
haben, durch ein weiteres "bitte die Warnung ignorieren" zu untergraben.
Malte
Thread beobachten
Seitenaufteilung abschalten