Indymedia linksunten über https

Fingerabdruck

linksunten.indymedia.org ist ab sofort nur noch über https erreichbar, alle http-Anfragen werden auf https umgeleitet. Somit sind alle Verbindungen zwischen eurem Browser und unserem Server verschlüsselt. Wir setzen dabei eine SSL-Verschlüsselung ein, die Standardverschlüsselung für Webseitenaufrufe. Das ging bisher auch schon, nur akzeptierten die Browser unser bisheriges selbstsigniertes Zertifikat nicht automatisch und es musste eine Ausnahme hinzugefügt werden. Nachdem wir jetzt ein fünf Jahre gültiges kommerzielles Zertifikat haben, akzeptiert euer Browser das Zertifikat nun ohne Probleme.

Leider ist das https-Konzept von Grund auf mangelhaft, denn der einzig automatische Schutz vor einem Angriff auf eine SSL-Verbindung ist die Vertrauenswürdigkeit der Herstellerfirmen der Zertifikate, die in euren Browsern vorinstalliert sind. Falls jedoch einer der Hersteller gehackt wird, wie es zum Beispiel bei der Herstellerfirma unseres neuen Zertifikats Comodo vor etwa einem Jahr der Fall war, oder falls eine Firma ein weiteres gültiges Zertifikat für eine Website ausstellt, wie es Trustwave getan hat, dann ist ein Angriff möglich, ohne dass dies durch den Browser automatisch entdeckt werden kann.

 

Der einzig sichere Schutz vor einem Angriff auf die Verschlüsselung ist eine manuelle Überprüfung des Zertifikats. Dies geschieht über den Vergleich eines sogenannten Fingerprints des Zertifikats, der bei einem Klick auf die Zertifikatseigenschaften in der Adresszeile eures Browsers angezeigt wird. Der SHA1-Fingerprint unseres neuen SSL-Zertifikats lautet:

 

CC:01:E8:26:76:74:51:0C:DE:4B:0E:1C:FD:DC:7F:C7:17:A3:D0:4C

 

Verbreitet unseren Fingerprint! Und lasst euch nicht erwischen...

 

IMC linksunten

Zeige Kommentare: ausgeklappt | moderiert

Theoretisch müsstet ihr bei jedem Besuch einer Seite manuell den Fingerprint überprüfen um herauszufinden, ob euch nicht dieses Mal vielleicht ein falsches Zertifikat untergschoben wurde.

Das macht natürlich kein Mensch manuell, da es viel zuviel Aufwand ist.

Es gibt eine Firefox-Erweiterung namens Certificate Patrol, die überwacht, ob sich bei einem erneuten Seitenbesuch das Zertifikat plötzlich verändert hat. Man muss also bspw. den Fingerprint von linksunten.indymedia.org nur einmal überprüfen und kann sich dann (hoffentlich) im Falle einer Man-in-the-Middle-Attacke auf Certificate Patrol verlassen, das eine Warnung ausgeben sollte.

Super Ergänzung, danke dafür! Das Plugin kannte ich noch nicht.

 

Aber ich möchte dir dennoch widersprechen: zwar würde ich auch nicht zum allabendlichen Surfen jedes Mal den Fingerprint überprüfen, aber in dem Moment, wo ich meine supergefährliche Anschlagserklärung auf linksunten veröffentlichen will, würde ich genau das tun. :)

Eine neue Methode eine Man-in-the-Middle-Attacke aufzuspüren bietet Convergence. Dabei wird das empfangene Zertifikat der aufgerufenen Seite mit dem, von einem sogenannten "Notariatsserver" abgerufenen Zertifikat der selben Seite verglichen. Wenn der Notariatsserver nun beim Aufruf der identischen Website ein anderes Zertifikat als mein Browser bekommt ist an der Verbindung etwas faul. Die Notariatsserver kann man selber auswählen, je nachdem wie viel Vertrauen man in die jeweiligen Betreiber hat. Bericht mit mehr Infos und Erklärungen: http://www.silicon.de/41556773/convergence-endlich-ein-fix-fuer-ssl/


Convergence gibts bis jetzt leider nur als Beta-Version für den Firefox. Weitere Versionen sind jedoch anscheinend in Überlegung.
Infos in Englisch und Download: http://convergence.io

Habe das AddOn hier als alternative zu convergence.....hoffe das taugt auch zu was. http://patrol.psyced.org/

Das jetzige Zertifikat wurde von mozilla firefox 11 auch nicht "automatisch" akzeptiert... sondern ich musste ihm von hand vertrauen.

habe das selbe problem habe gerade auch mal zum test aktuelle chrome und internet explorer version getestet da lädt die seite direkt ohne warnmeldung.

 

vielleicht kommt der fehler weil es vorher ja ein anderes zertifikat war?

Wir haben das natürlich im Firefox 11 vorher getestet und den Fehler nicht bekommen. Aber ich konnte das Problem gerade mit einem neuen User und Firefox 11 reproduzieren. Wahrscheinlich fehlt ein Zwischenzertifikat auf unserem Server, wir schauen uns das Problem an.

Bei mir unter Debian Wheezy wird das Comodo-Zertifikat nicht akzeptiert. Evt. wegen http://www.heise.de/security/meldung/Erneut-Comodo-SSL-Registrar-gehackt... und http://www.heise.de/security/meldung/Datendiebstahl-bei-Netzwerk-Sicherh... ?

 

Die ganze CA-Geschichte ist eh kaum sinnvoll. In den letzten 2 Jahren gab es da mehrere Zwischenfälle. Außerdem betreiben Staaten teils eigene CAs (die von den Browsern/Betriebssystemen auch akzeptiert werden), mit denen sie beliebige Zertifikate ausstellen könnten. Daher sollte man auf SSL nicht zu viel setzen.

Es fehlte tatsächlich das essential.ca-bundle, einige Zwischenzertifikate von Comodo. Nun klappt es hier auch mit einem neuen User und Firefox 11. Falls ihr noch Probleme habt, postet die bitte einfach hier.

hey super,,dass ihr euch um sowas immer gleich kümmert! danke! :-*

hier gehts jetzt auch.

Die Sicherheitsbedenken stehen bereits im Artikel ("the https concept is broken by design"), auch die von dir angesprochenen Hacks. Welche der Firmen nun genutzt wird, macht aus meiner Sicht keinen Unterschied, da jede gehackte oder willige Zertifizierungsfirma ein gültiges Zertifikat für jede Website ausstellen kann, wie du ja auch schon ganz richtig geschrieben hast. Ich denke auch nicht, dass SSL die Lösung aller Sicherheitsprobleme ist, aber es ist durchaus ein Baustein. Denn die ganzen Hacks und Missbräuche der Zertifizierungsstellen erlauben ja nicht das automatische Mitlesen der Verbindungen sondern Man-in-the-middle-Angriffe. Die müssen aber auch erst einmal gemacht werden und können zum Beispiel nicht rückwirkend geschehen. Außerdem braucht es dafür schon den Hack oder die Zusammenarbeit einer Zertifizierungsstelle zusammen mit einem gezielten Angriff auf die Browserverbindung. Insgesamt wird also das Sicherheitslevel ohne Nachteile erhöht – außer natürlich, dass unser Server mehr rechnen muss. ;-)

HTTPS sollte längst überall Standard sein! Deshalb *thumbs up*.

 

An die Paranoia-Abteilung: Beiträge veröffentlicht man eigtl. auch grundsätzlich per VPN und ganz böse Beiträge nicht von zu Hause + VPN. Und das Reunion-Communiqué der x-ten Generation der R.A.F. veröffentlicht man dann nicht von zu Hause + 3 kaskadierten VPNs + fremder Rechner + offenem WLAN in anderer Stadt.

 

Spaß beseite: Achtet lieber darauf, dass Ihr nicht überall dasselbe Passwort für jeden Kram nutzt. Das ist bei weitem relevanter. Euer E-Mail-Konto sollte ein eigenständiges Passwort haben. Wer darauf Zugriff hat, hat auf fast alles Zugriff.

Man könnte noch erwähnen: Verschlüsselter Traffic erschwert 1. die Trafficanalyse durch ISP oder sonstwen und 2: umso mehr verschlüsselten Traffic es im Netz gibt desto weniger fällt er auf und macht einen verdächtig (wie es im Buch Little Brother von Corry Doctorow beschrieben wird).

 

Übrigens ergibt der "https"-Hinweis oben unter der Überschrift neben "Kontakt" nun wenig Sinn, da alle automatisch dorthin geleitet werden. Ich schlage vor, dort wird erst einmal dieser Artikel verlinkt, und irgendwann kann der Link da oben ja verschwinden ;-)

Guter Hinweis, haben wir umgesetzt. :)

Moin, ihr beschreibt im Artikel, dass JEDER Websiteaufruf automatisch auf https weitergeleitet wird. Dies kann ich leider nicht bestätigen.  Surfe mit FF 11 unter Ubuntu Netbook Edition. Nur wenn ich bewusst https in die Adresszeile eingebe lande ich auch auf der SSL Variante, ansonsten ist es weiterhin unverschlüsselt.

Wir hatten bei der Einrichtung vergessen die beiden anderen Domains (liu.indymedia.org und lunte.indymedia.org) weiterzuleiten. Offenbar haben wir beim Fixen dieses Problems ein neues geschaffen. Wir schauen uns das an und versuchen es zu beheben.

verdammt seid ihr schnell ;-) Nu gehts. Danke dafür!

:-)

könntet ihr vielleicht etwas leichter erklären, wie das mit dem fingerprint eingeben und manuell nachtesten geht?

 

DANKE IM VORAUS

Das hängt stark von deinem Browser und der Version des Browsers ab. Falls du zum Beispiel den Firefox 11 benutzt, klickst du oben in der Adresszeile auf das blaue "indymedia.org" zwischen (((i))) und Adresse. Dann geht ein Pop-up Fenster auf, bei dem du auf "Weitere Informationen..." klicken kannst. Dann erscheint ein neues Fenster, in dem du "Zertifikat anzeigen" anklicken kannst. Dann erscheint noch ein Fenster und dort steht unten der SHA1-Fingerabdruck. Dieser Fingerabdruck muss mit CC:01:E8:26:76:74:51:0C:DE:4B:0E:1C:FD:DC:7F:C7:17:A3:D0:4C übereinstimmen.

Im Cloudflare-Blog wurde kürzlich sehr anschaulich die Funktionsweise von TLS-Verschlüsslungen erklärt:

https://blog.cloudflare.com/staying-on-top-of-tls-attacks (Englisch)

Wenn dann euer Zertifikat ausläuft, könnt ihr es ja auch mal hiermit versuchen: http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html bzw. http://www.startssl.com/. Zwar werden beim CSR alle Daten bis auf den öffentlichen Schlüssel ignoriert, Wildcard Zertifikate sind nicht möglich und die signierten Zertifikate sind nur ein Jahr gültig. Dennoch ein sehr praxistaugliches Angebot.

Wir waren in Kontakt mit Startssl und haben uns aufgrund der Kommunikation mit der Firma für eine andere Lösung entschieden. Die Zertifikate sind zudem nur für ein Jahr gültig.

Wozu mit denen in Kontakt treten, wenn es um die kostenfreien Zertifikate geht? Das sie nur ein Jahr gelten hatte ich ja geschrieben, dafür sind sie eben kostenfrei ;). Wenn ich mir ein Dienstleistung in dem Bereich erwerben möchte, ist StartSSL durchaus eine suboptmiale Wahl, da der Prozess immer etwas zäh ist.

 

Jedenfalls kann man mit StartSSL innerhalb von wenigen Minuten ein kostenfreies Zertifikat für den eigenen Schlüssel erhalten, ohne das man mit dem Personal von StartSSL kommunizieren müsste. Der Aufwand ist derart gering, das die jährlichen Personalkosten unter einer halben Stunde sind (inklusive Installation des Zertifikats). Dafür Geld an einen Anbieter zu zahlen, ist schlicht Verschwendung. Aber es ist ja eurer Giralgeld :)...

You may perform Class 2 Identity (and Organization) validation and apply for their specific domain space by providing this authorization letter from the domain name owner. The validations are performed manually and are not supported below the Class 2 level.

Quelle: https://startssl.com/?app=25#28

 

StartSSL™ FreeThe StartSSL™ Free (Class 1) digital certificates are provided by StartCom without charge.

Quelle: https://startssl.com/?app=39

Es gibt inzwischeneine kostenfreie Alternative zu komerziellen Anbietern:

https://letsencrypt.org/

 

Eine Registrierung oder bezahlung ist nichtmehr nötig.