Auch wenn das jetzt eher ein Exkurs ist und nicht hier her gehört:
Verwandtschaft hatte Probleme mit der Internetanbindung. Um das wieder hinzubekommen, wollte ich mich auf den Speedport W503 (Typ A) verbinden. Eigentlich kein Problem, nur ist der Router bereits so modern, um HTTPS vorauszusetzen. Und eben jenes Zertifikat war durch die Uralt-Software auf dem Router ungültig.
Dein Browser hat absolut richtig gehandelt. HTTPS erwartet gewisse Garantien, nämlich das Erreichen gewisser Ziele der Kryptographie, geben zu können. Funktioniert das nicht, ist die einzig zulässige Entscheidung eines Systems, die Verbindung zu verweigern. Zugegeben ist das ein wenig unhandlich, in einigen Implementierungen findet man Flags zum ignorieren der Zertifikate, prinzipiell ist das aber genau der Weg, der zu beschreiten ist.
Hier sollte man sich fragen, wieso ein Router mit ungültigen Zertifikaten um sich wirft. In erster Linie ist das ein Versäumnis des Administrators. Der hätte sicherstellen müssen, dass der Router stets über aktuelle, gültige Zertifikate verfügt. Gewisse Standards werden ja nicht von heute auf morgen flächendeckend und über Nacht eingeführt und ausgerollt. Dass sich Sicherheitsstandards weiterentwickeln ist allgemein hin bekannt, wenn ein Krypto-relevanter Algorithmus als nicht mehr hinreichend identifiziert wird, dann ist das bereits lange im Voraus bekannt und die Browser stellen auch nicht schlagartig ihre Unterstützung ein. Der Administrator hat also durchaus die Möglichkeit, rechtzeitig für Abhilfe zu sorgen.
Zugegebener Maßen ist das ein wenig unhandlich und man
könnte die Verantwortung auf Softwareentwickler schieben. Die könnten ihre Software natürlich auch mit automatischen Updates ausstatten und bspw. automatisiert neue Zertifikate generieren. Dann kommen wir aber ganz schnell zu dem Punkt, an dem sich Microsoft jetzt befindet: Windows 10 mit Zwangsupdates. Einerseits hat Microsoft erkannt, dass es gerade bei Home-Nutzern keine
willigen Administratoren gibt. Dafür stehen sie jetzt, berechtigt, in Kritik, weil man ja Updates aufgezwungen bekommt, was bei kritischen Systemen zu Problemen führen kann. Bei Zertifikaten wäre ein automatisiertes Eingreifen durch Softwareentwickler unter Umständen noch eine Nummer problematischer.
Bei HTTPS gilt meine Aussage um so mehr. Ein veraltetes/ ungültiges Zertifikat sollte dein Browser tunlichst nicht akzeptieren. Das ist ja noch schlimmer! Ein veraltetes Zertifikat ist praktisch wertlos und HTTPS will eben Garantien geben. Die einzig richtige Reaktion ist, ein derartiges Zertifikat abzulehnen.
Auch hier ist das Problem nicht an der Stelle deiner Software zu suchen. Die hat im kryptografischen Sinne alles richtig gemacht, indem sie die Verbindung abgelehnt hat.
Da nicht die Ziele moderner Kryptografie erreicht werden konnten, hat sie verweigert, die Verbindung aufzubauen. Das ist absolut richtig so.
Der Fehler ist viel mehr beim Administrator oder dem System zu suchen:
Entweder hätte derjenige, der diesen Service eingerichtet hat und nutzt, mutmaßlich du, sich darum kümmern müssen, diesen rechtzeitig zu aktualisieren oder - und da gestehe ich, dass ich hierzu tendiere, der Softwarehersteller hätte sicherstellen müssen, dass stets aktuelle Zertifikate zur Verfügung stehen. Einmal im Jahr ein neues Zertifikat zu generieren, ließe sich sicher auch mit cronjob realisieren und hätte in diesem Fall bereits Abhilfe geschaffen.
Anders ausgedrückt: Manchmal macht es auch Sinn, unsichere und veraltete Techniken verwenden zu können, auch wenn sie in einer modernen Infrastruktur keinen Platz mehr haben sollten. Sicherheitshinweise sind aber dennoch auf jeden Fall sinnvoll, solange es nur Hinweise bleiben.
@ Topic
Wie wäre es mit einem SSH-Server auf dem Android-System?
.
