Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SSL in huidige structuur zo goed als Dood!?

08-09-2011, 13:28 door Anoniem, 4 reacties
Bijft niet veel van over na slecht-nieuws items en dan nog deze
[link]http://www.qcic.nl/item.jsp%3Fnews=83.html[/link] fundamentele problemen er van af trekt.

Of is er nog iemand die met plug-ins en her-regulering wil proberen om die modder schuit van de zandbank lost te trekken?

Waarom niet gewoon die foute commerciële zogenaamde "Autoriteiten" laten zinken, en vrolijk methoden gaan gebruiken die wel prima en geheel transparant werken?
Reacties (4)
09-09-2011, 23:15 door Bitwiper
http://www.qcic.nl/ is, hoewel wat chaotisch, een intrigerende site.

In http://www.qcic.nl/item.jsp%3Fnews=83.html "SSL for dummies" lees ik onder meer:
"In TLS, it is not always necessary to include certificates all the way back to the root CA. You can use an intermediary authority."
Die regel vind ik terug in http://technet.microsoft.com/en-us/library/cc784450%28WS.10%29.aspx, maar ik begrijp niet waarom dit een security probleem zou zijn.

Een veelgemaakte fout is dat beheerders vergeten om intermediate certificates zo te installeren dat ze worden meegestuurd zodra een webbrowser verbinding maakt met hun server. Ze testen hun site met hun eigen webbrowser waarin zo'n intermediate certificate al een keer eerder "voorbij is gekomen" en in de certificate store is opgeslagen (zie http://www.security.nl/artikel/35578/security.nl_SSL%2BFirefox_-_onverwacht_gedrag.html) en concluderen dat het werkt.

Voorbeeld: op dit moment stuurt https://webmail.zoetermeer.nl/ het intermediate certificate genaamd "VeriSign Class 3 International Server CA - G3" niet mee. Als die niet toevallig al in je webbrowser zit, krijg je een SSL/TLS foutmelding.

De andere genoemde issues zijn zeker een probleem maar niet onbekend (wel bij de gemiddelde gebruiker).

Door Anoniem: Waarom niet gewoon die foute commerciële zogenaamde "Autoriteiten" laten zinken, en vrolijk methoden gaan gebruiken die wel prima en geheel transparant werken?
Waar denk je dan aan?
12-09-2011, 17:06 door Anoniem
www.convergence.io is ook wel een leuk alternatief
10-10-2011, 09:19 door Anoniem
Door Bitwiper: http://www.qcic.nl/ is, hoewel wat chaotisch, een intrigerende site.

"...geheel transparant werken"
Waar denk je dan aan?

Eerst eens het SSL/TLS protocol ontdoen van alle bekende zwakke plekken, en Alle overbodige 'functionaliteit'.
Zelfs de makers van de huidige standaard zo als de specialisten bij Verisign vinden dat het een Zooitje geworden is.

Dan de sleutel verificatie leggen bij een drietal echte non-profit organisaties, die volledig transparant moet werken. Wat betekend dat als iemand van mening is dat er ergens een zwakke plek is, zij zich netjes moeten verantwoorden en het zo snel mogelijk verhelpen. 3 omdat er keuze/evolutie-concurrentie moet zijn om vooruitgang te houden, en er 1 plat mag gaan zonder direct het hele internet onderuit te schoffelen.
Nu stoppen de CA's & Resellers dus zo veel mogelijk in de doofpot en repareren liever niets omdat het hun te veel moeite kost, en dat omdat die organisaties niet ingesteld zijn op verandering maar op status-quo vast houden.
10-10-2011, 09:36 door Anoniem
Door Anoniem: www.convergence.io is ook wel een leuk alternatief

Vooral 'Leuk', en voor nerds!
dus... niet levens vatbaar voor het grote interweb publiek.


Als je de structuur eens goed door leest, kan je zien dat het alleen maar makkelijker word om de boel te flessen door dat er nog meer toevoegingen in functionaliteit bij komen, plus afhankelijkheden van wazige derden. Dan nog de [i'm cute, Trust me!] factor, waar gewone gebruikers heel gevoelig voor zijn.

Typisch introvert academica project.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure