ridiculous
Neu angemeldet
- Registriert
- 9 Sep. 2013
- Beiträge
- 1
Man macht sich ja mittlerweile so seine Gedanken, was denn an den aktuellen Nachrichten dran sein könnte, z.B. dass Geheimdienste die Provider bedrängen den sogn. 'Masterkey' rauszurücken.
Dieser Masterkey sollte ja im Grunde der private key sein, welcher bei einem Zertifikatsrequest für die gehosteten Webdienstes Verwendung fand. Die größte Diensteanbieter in den USA dürfte Google sein, evtl. kann noch Facebook mithalten.
Mein Gedankengang wäre jetzt, dass man doch recht blöd sein müsste, wenn man nur einen private Key hat und auf Basis dieses einen Keys dann für Dienste wie youtube.com, google.com usw ein Zertifkat ausstellen lässt.
Die Gefahr wäre unausweichlich, dass wenn ein Dritter ZUgriff auf den private Key bekommen würde, die SSL-Verschlüsselung in der Tat geknackt werden könnte.
Insofern hat mich jetzt mal interessiert welchen Zertifizierungspfad ein Unternehmen wie Google für die SSL-Zertifikate nutzt.
Als Root-CA hat man bei Google die 'GeoTrust Global CA' gewählt. Von dieser hat man sich ein eigenes CA-Zertifikat für die 'Google Internet Authority G2' ausstellen lassen, welche von Google selbst betrieben wird.
Für ein Unternehmen wie Google sollte es ein leichtes sein, die entsprechenden Formalitäten einer CA einzuhalten. Mitunter muss man da schon in ein paar Vollzeitstellen investieren, um sowas Auditkonform zu gestalten.
Also alles in allem erstmal kein Problem.
Theoretisch wäre Google also jederzeit in der Lage für alles und jeden ein eigenes Zertifikat auszustellen. Sozusagen genau entgegen dem Prinzip des Masterkeys.
Um dies zu bestätigen hab ich mir das Zertifikat auf www.google.com angesehen.
Ausgestellt wurde es für *.google.com (CN) sowie für diverse andere SAN (Subject Alternative Names).
Ausgestellt wurde es am 29.08.2013 14:23:30 Uhr. Somit dürfte es erst vor wenigen Tagen ausgerollt worden sein.
Stellt sich also die Frage, warum man bei Google ein Wildcard-Zertifkat für google.com verwendet und dazu das selbe Zertifikat noch für andere Domains ausstellen lässt. Google hat eine eigene CA und nutzt ein und das selbe Zertifikat für google.com und youtube.com? Warum?
Ok, als Entlastung könnte man angeben, dass sie jetzt TLS 1.2 verwenden und auch eine Cipher-Suite anbieten, welche Forward Secrecy zur Anwendung bringt. Bei mir im Chrome ist es: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
Das war ja auch bereits bekannt, z.B. wurde hier bei heise.de darüber berichtet.
Im Screenshot von heise.de sieht man, dass da noch eine andere Cipher-Suite zur Anwendung kamm, nämlich TLS_ECDHE_RSA_WITH_RC4_128_SHA.
Was wäre der Grund, von ECDHE_RSA auf ECDHE_ECDSA zu wechseln?
Evtl. kam der Tipp von der NSA? Seit 2005 arbeiten die an der Suite B Cryptography.
Die kanadische Certicom beliefert übrigens auch Blackberry (ehemals Research In Motion) mit Krypto Klassen. Es ist natürlich rein Zufällig, wenn die NSA neuerding Champagner trinkt.
Irgendwie ist das für mich alles nicht sehr Vertrauenserweckend. Wildcard-Zertifikate, noch dazu mit dutzenden SAN. D.h. ein Zertifkat für alle möglichen Dienste.
Und dann noch ein neuer Signatur-Algorithmus von einem Verein, welcher dafür bekannt ist Standards in eigenem Sinne zu beeinflussen.
Also alles noch sicherer geworden?
Dieser Masterkey sollte ja im Grunde der private key sein, welcher bei einem Zertifikatsrequest für die gehosteten Webdienstes Verwendung fand. Die größte Diensteanbieter in den USA dürfte Google sein, evtl. kann noch Facebook mithalten.
Mein Gedankengang wäre jetzt, dass man doch recht blöd sein müsste, wenn man nur einen private Key hat und auf Basis dieses einen Keys dann für Dienste wie youtube.com, google.com usw ein Zertifkat ausstellen lässt.
Die Gefahr wäre unausweichlich, dass wenn ein Dritter ZUgriff auf den private Key bekommen würde, die SSL-Verschlüsselung in der Tat geknackt werden könnte.
Insofern hat mich jetzt mal interessiert welchen Zertifizierungspfad ein Unternehmen wie Google für die SSL-Zertifikate nutzt.
Als Root-CA hat man bei Google die 'GeoTrust Global CA' gewählt. Von dieser hat man sich ein eigenes CA-Zertifikat für die 'Google Internet Authority G2' ausstellen lassen, welche von Google selbst betrieben wird.
Für ein Unternehmen wie Google sollte es ein leichtes sein, die entsprechenden Formalitäten einer CA einzuhalten. Mitunter muss man da schon in ein paar Vollzeitstellen investieren, um sowas Auditkonform zu gestalten.
Also alles in allem erstmal kein Problem.
Theoretisch wäre Google also jederzeit in der Lage für alles und jeden ein eigenes Zertifikat auszustellen. Sozusagen genau entgegen dem Prinzip des Masterkeys.
Um dies zu bestätigen hab ich mir das Zertifikat auf www.google.com angesehen.
Ausgestellt wurde es für *.google.com (CN) sowie für diverse andere SAN (Subject Alternative Names).
Ausgestellt wurde es am 29.08.2013 14:23:30 Uhr. Somit dürfte es erst vor wenigen Tagen ausgerollt worden sein.
Stellt sich also die Frage, warum man bei Google ein Wildcard-Zertifkat für google.com verwendet und dazu das selbe Zertifikat noch für andere Domains ausstellen lässt. Google hat eine eigene CA und nutzt ein und das selbe Zertifikat für google.com und youtube.com? Warum?
Ok, als Entlastung könnte man angeben, dass sie jetzt TLS 1.2 verwenden und auch eine Cipher-Suite anbieten, welche Forward Secrecy zur Anwendung bringt. Bei mir im Chrome ist es: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
Das war ja auch bereits bekannt, z.B. wurde hier bei heise.de darüber berichtet.
Im Screenshot von heise.de sieht man, dass da noch eine andere Cipher-Suite zur Anwendung kamm, nämlich TLS_ECDHE_RSA_WITH_RC4_128_SHA.
Was wäre der Grund, von ECDHE_RSA auf ECDHE_ECDSA zu wechseln?
Evtl. kam der Tipp von der NSA? Seit 2005 arbeiten die an der Suite B Cryptography.
Die kanadische Certicom beliefert übrigens auch Blackberry (ehemals Research In Motion) mit Krypto Klassen. Es ist natürlich rein Zufällig, wenn die NSA neuerding Champagner trinkt.
Irgendwie ist das für mich alles nicht sehr Vertrauenserweckend. Wildcard-Zertifikate, noch dazu mit dutzenden SAN. D.h. ein Zertifkat für alle möglichen Dienste.
Und dann noch ein neuer Signatur-Algorithmus von einem Verein, welcher dafür bekannt ist Standards in eigenem Sinne zu beeinflussen.
Also alles noch sicherer geworden?