Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Alle Root Zertifikate werden als nicht vertrauensvoll eingestuft

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: jackjack

jackjack (Level 1) - Jetzt verbinden

23.11.2011 um 11:30 Uhr, 4039 Aufrufe, 7 Kommentare

Hallo zusammen!

Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten

und zwar geht es um folgendes:

Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.

Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten

Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden

Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?

Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.

Ich freue ich auf eure Unterstützung!
Mitglied: AndiEoh
23.11.2011 um 13:00 Uhr
Nennt sich "MitM". In manchen Umgebungen ist https bzw. dessen Nebenwirkungen (Tunnel, nicht per Virenscanner prüfbar) "unerwünscht". Deshalb gibt es Proxy Server die auch https "unterbrechen" um den Inhalt prüfen zu können. Da der Proxy i.d.R. keine gültigen SSL Zertifikate für die angesteuerten Webseiten hat weißt dich dein Browser mit recht auf die Sicherheitslücke hin. Die Seiten als "vertrauenswürdig" einzustufen ist verkehrt, da du damit dem Proxy vertraust und nicht der Seite. Wenn es nun wieder funktioniert kann es drei Gründe haben:
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt

Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 13:22 Uhr
Hallo!

Vielen Dank für die aufklärenden Worte!
Besonders den 2. Punkt den du angesprochen hast sehe ich auch sehr kritisch. Würde das den funktionieren das der proxy auf den Client PC's einfach ein Root Zertifikat ohne Bestätigung des Nutzers ablegt? (Es gibt zwar einen DC/AD aber nicht alle Clients sind dort integriert, meine PC's auch nicht) Und soweit ich weiß muss ich Root Zertifikate immer bestätigen.

Gibt es den irgendwie eine Möglichkeit das zu überprüfen ob meine Zertifikate noch gültig bzw vertrauenswürdig sind oder ob ich so ein Root Zertifikat "untergeschoben" bekommen habe?

Und desweiteren von meinem Verständnis her sollte die openVPN Verbindung aber auf jedenfall noch sicher sein da ja hier die Zertifikate auf Server sowie Client vorher schon ausgetauscht wurden?
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 13:47 Uhr
Die Möglichkeit Root Zertifikate unbemerkt unterzuschieben gibt es nur in "Managed" Umgebungen also z.B. für Mitglieder einer Windows Domain. Prüfen lässt sich das indem man den Windows Zertifikatsstore vergleicht, oder im Falle des Proxy das Zertifikat der Webseite prüft bzw. den Austeller des Zertifikates. Falls du es mit der Sicherheit wirklich ernst meinst solltest du sowieso den Zertifikate Store deines Browsers/Betriebssystems durchgehen und abgleichen ob der Hersteller und du gleicher Meinung sind über "vertrauenswürdig". Ob man z.B. Root CAs aus mehr oder minder totalitären Staaten vertrauen sollte ist Geschmackssache.
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 14:14 Uhr
ok dann mach ich mir mal keine Sorgen das ich irgendwelche Zertifikate untergeschoben bekommen habe. ich werde heute Abend mal meine Root Zertifikate durchsehen und deinem Ratschlag folgen mit zu überlegen wem ich "vertraue" und nicht.

Ich hab mich auch mal etwas in die MitM proxy Sache reingelesen und dort stand auch das man das über den Aussteller des Zertifikates herausfinden kann. Ich werde in nächster Zeit etwas genauer hinsehen von wem die Zertifikate ausgestellt sind.

Vielen Dank auf jedenfall das du mich auf die richtige Spur gebracht hast, hab ich wieder was gelernt heute
Bitte warten ..
Mitglied: AndiEoh
23.11.2011 um 15:46 Uhr
Beitrag als "gelöst" markieren...?
Bitte warten ..
Mitglied: jackjack
23.11.2011 um 20:11 Uhr
danke hab ich gemacht!

ich hab heute übrigens zuhause nachgeschaut in meinen Zertifikaten und ich habe ja wie gesagt gestern einmal die "Ausnahme hinzufügen" gemacht und das Zertifikat war wirklich wie du gesagt hast so ein MitM Zertifikat das von dem proxy erstellt wurde (Panda Gate Defender). Hab in der Anleitung von der Software auch nachgelesen und die Software "preist" diese tolle Funktion auch noch an. Auf jedenfall habe ich die Zertifikate mal als "Beweis" gesichert und danach gelöscht (und nebenbei noch wie von dir vorgeschlagen auch noch ein paar Root CAs)

Also im Moment scheint das mit dem Internet hier wieder ohne Probleme zu funktionieren aber meine Kommilitone haben mir von ähnlichen Probleme den Tag über berichtet also scheinen die Administratoren da wieder dran "rumgespielt" zu haben...

Wie du schon in deinem ersten Post geschrieben hast, "Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich." bin ich der gleichen Meinung und würde es nicht für so toll finden wenn hier in der Uni der ganze SSL Verkehr überwacht werden würde. Wie sieht das den rechtlich mit dieser Situation aus? Ist sowas eigentlich erlaubt?

Ich würde mich noch über deine Einschätzung sehr freuen!
Bitte warten ..
Mitglied: AndiEoh
24.11.2011 um 10:23 Uhr
Im Firmenumfeld wäre es u.U. möglich wenn die Privatnutzung per Arbeitsvertrag ausgeschlossen ist und wenn diese Massnahme den Mitarbeitern klargemacht wird (von den Mitarbeitern unterschriebene Richtlinie). Ob der Betriebsrat zustimmen muß oder nicht kann ich jetzt nicht sicher sagen, wie das an einer Uni zu bewerten ist auch nicht. Da allerdings auch viele Leute von "unterwegs" mal eben das Bankkonto checken und ähnliche Dinge tun würde ich mal mit dem Datenschutzbeauftragten eurer Uni/Hochschule sprechen.

Gruß

Andreas
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Userverwaltung
Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen (1)

Link von magicteddy zum Thema Linux Userverwaltung ...

Verschlüsselung & Zertifikate
gelöst Wieso kann eine CA Zertifikate ausstellen und ein normaler Nutzer nicht? (7)

Frage von Mimetype zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

Link von sabines zum Thema Verschlüsselung & Zertifikate ...

Internet
Zertifikate: Auch Google wirft Wosign und Startcom raus

Link von Kraemer zum Thema Internet ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...