rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
Https?
- Ersteller vFranky
- Erstellt am
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
Sehr gut!
So viel Ehrgeiz bezüglich HTTPS/TLS hab ich selten gesehen.
Nur bei DNSSEC/DANE gibt es eben leider noch ein Problem: Aktuell nutzen es sehr wenige Clients, denn standardmäßig validieren Browser keine DNS-Anfragen - dies funktioniert nur mit dem Add-on. Und das nutzen nun mal - logischerweise - wenige.
Aber auch Nutzer die dies nicht nutzen - sollten den bzw. einen ähnlichen Schutz genießen. Dafür gibt es HPKP. Und dass nutzt du offensichtlich noch nicht:
(Hier müsste Public-Key-Pinning ein Header sein)
Zuerst: Es gibt auch einige Fallstricke, denn dies ist u.a. der Grund warum da mindestens ein Ersatz-Zertifikat erstellt (aber nicht zwingend schon von einer CA signiert) werden muss.
Andererseits bietet es Benutzern insofern Schutz, dass einmal abgerufene SSL-Zertifikat beim nächsten Aufruf wieder dem vorherigem (oder einem Backup-Zertifikat) entsprechen muss.
Und genau dieses Prinzip schützt - wie DNSSEC+DANE - davor, dass irgendeine Zertifizierungsstelle ein Zertifikat für deine Domain ausstellen kann und somit den Traffic mitschneiden und entschlüsseln kann.
Für mehr Infos verweise ich mal auf meine vorherigen Links - da ist das Ganze noch sehr viel detaillierter erklärt.
Ich weis nicht ob dieses HPKP überhaupt ne Zukunft hat. "Header" kann man viel leicheter manipulieren, vielleicht irre ich mich auch. Von diesem HPKP habe ich noch nie was gehört, außer von diesem Beitrag jetzt 
.
.
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
"Leichter manipulieren als was?" wäre hier wohl die Frage...
Ja klar kann man Header manipulieren - und zwar in zwei Fällen:
Dann kann man natürlich einen passenden Header einfügen. Das Problem ist nur, dass dann - wenn der Angriff schlecht ausgeführt wurde - bei nachfolgenden Zugriffen auf die Webseite, ohne dass sie abgefangen wird, eine Fehlermeldung auftaucht.
Auf jeden Fall verhindert HPKP jedoch das Abfangen von Verbindungen, wenn der Client den richtigen HPKP-Header schon erhalten hat. In diesem Fall müsste der Angriff dann schon beim ersten Seitenaufruf geschehen.
Ja klar kann man Header manipulieren - und zwar in zwei Fällen:
- Man ist Webseitenadmin bzw. hat Zugriff auf den Webserver. (Diese Möglich kann man hier ja mal ausschließen - man wird seinen eigenen Header nicht zum negativen manipulieren)
- Oder man fängt die Verbindung ab
Dann kann man natürlich einen passenden Header einfügen. Das Problem ist nur, dass dann - wenn der Angriff schlecht ausgeführt wurde - bei nachfolgenden Zugriffen auf die Webseite, ohne dass sie abgefangen wird, eine Fehlermeldung auftaucht.
Auf jeden Fall verhindert HPKP jedoch das Abfangen von Verbindungen, wenn der Client den richtigen HPKP-Header schon erhalten hat. In diesem Fall müsste der Angriff dann schon beim ersten Seitenaufruf geschehen.