Schlagwort-Archive: SSL

Enttäuschte Vorfreude

Liebe Microsoft,

wenn ein Button unter einer Sicherheitswarnung mit Details beschriftet ist,

wäre es schön, wenn ein Klick darauf auch Details anzeigen würde. Und nicht die Hilfe öffnen, die mir SSL erklärt. Mich würde hier zum Beispiel interessieren, welche Inhalte denn gemeint sind, damit ich meine Entscheidung in Kenntnis der Umstände treffen kann. Stattdessen bleibt mir nichts anderes übrig, als immer auf JaNein zu klicken. Dabei brauche ich keine Hilfe, das schaffe ich auch so.

Trust Center

Nach dem Vorfall bei Diginotar − Unbekannte haben sich mehrere von Diginotar ausgestellte SSL-Zertifikate verschafft, und eines davon blieb längere Zeit unbemerkt gültig − schimpfen viele über das Geschäft der Zertifikatsaussteller und deren vorinstallierte CA-Zertifikate in Webbrowsern. Es ist einfach, Dinge für kaputt zu erklären, aber damit verbessert man nicht unbedingt die Welt. CAs heißen auch Trust Center. Das ist die bessere Bezeichnung, denn mit einem realistischen Vertrauensbegriff ergibt alles einen Sinn.

Vertrauen ist ein Vorurteil zur Reduktion sozialer Komplexität, eine Erwartung an das Verhalten anderer, die erfüllt oder auch entäuscht werden kann. Ob online oder im Alltag, ich könnte vor jeder Interaktion mit anderen gründlich prüfen, mit wem ich es zu tun habe, und  Vorsichtsmaßnahmen gegen das Scheitern ergreifen. Das wäre aber aufwändig, vor allem Im Verhältnis zur Größe und Häufigkeit von Alltagsgeschäften wie dem Kauf eines belegten Brötchens oder dem Aufbau einer SSL-Verbindung. Also lasse ich die Vorsichtsmaßnahmen weg und ersetze sie durch Vertrauen.

Unbekannte ohne Interaktionshistorie bekommen ein Basisniveau an Vertrauen zugeordnet, das begrenzt ist: einem Fremden im Park werde ich gerne drei Jonglierbälle im Wert von ca. 20 Euro borgen, nicht aber mein Fahrrad. Wiederholte erfolgreiche Interaktion lässt das Vertrauen wachsen. Wer ein paarmal im Park mit mir jongliert und meine Bälle nicht an Hunde verfüttert hat, bekommt unter Umständen höhere Werte anvertraut. Ich verborge auch mein Fahrrad, nur nicht an jeden. Enttäuschtes Vertrauen wird unmittelbar zerstört, wenn die Enttäuschung bemerkt wird. Es kann danach dauerhaft zerstört bleiben oder erneut aufgebaut werden, möglicherweise von einem niedrigeren Startniveau als bei Unbekannten.

Vertrauen lässt sich böswillig ausnutzen. Dazu muss sich der Angreifer lediglich anders verhalten als sein Opfer es erwartet und dabei im Verfügungsrahmen des ihm entgegengebrachten Vertrauens bleiben. Ein unseriöser Spendensammler auf der Straße nutzt das Basisvertrauen gegenüber Unbekannten, während ein Anlagebetrüger oft bewusst Vertrauenspflege betreibt, um größere Summen anvertraut zu bekommen. Solche Vertrauensbrüche sind verboten und werden verfolgt. Unsere Gesellschaft hält Vertrauen für so nützlich, dass sie seine böswillige Ausnutzung bestraft. Auf diese Weise erleichtert sie uns das Vertrauen ineinander und damit die soziale und ökonomische Interaktion.

Analoge Vorgänge beobachten wir im Zusammenhang mit Diginotar und anderen SSL-CAs. Den vorinstallierten CAs zu vertrauen, erleichtert unseren Alltag. Unser Vertrauen bleibt begrenzt, Bankgeschäfte zum Beispiel mit ihrem vergleichsweise hohen Verlustpotenzial stützen sich nicht alleine auf SSL, sondern verwenden weitere Mechanismen. Das Vertrauen in Diginotar ist aufgrund des Vorfalls nun zerstört. Vasco als Mutterfirma hat die Wahl, die Investition abzuschreiben oder neues Vertrauen aufzubauen, vorzugsweise unter neuem Namen, um scheinbar unbelastet beim Basisniveau anfangen zu können.

Das einzige gefährliche Trugbild, das ich hier sehe, ist die falsche Perfektionserwartung, die aus vermeintlichen Sicherheitsversprechen folgt. Browser mit vorinstallierten CA-Zertifikaten geben kein Sicherheitsversprechen, sondern sie ermöglichen Vertrauen, nicht mehr und nicht weniger. Wer an der Verwendung von CA-Zertifikaten wirklich etwas verbessern möchte, der sollte daran arbeiten, Vertrauensbrüche schnell und verlässlich erkennbar zu machen. Das halte ich für das eigentliche Problem: ich bekomme nur zufällig und unsystematisch mit, wie sich eine CA verhält.

(Das war zuerst ein Kommentar auf Google+, passt aber besser hier ins Blog.)

Was ist eigentlich Identität?

Warum viele auf Identitätsmanagement abfahren und sich davon einen Sicherheitsgewinn erhoffen, habe ich mich schon früher gefragt. Ein Teilproblem dabei: was ist eigentlich die Identität einer Firma oder Organisation? Warum das ein Problem ist, illustrieren jetzt ausgerechnet Verbraucherschützer, die uns beim Schutz vor Phishing helfen möchten. Sie geben die üblichen Tipps – und illustrieren ihre Erklärung über SSL ausgerechnet mit einer URL-Zeile der Dresdner Bank:

Dresdner Commerzbank Privat oder so

Die ist seit kurzem eine Marke der Commerzbank, und das zeigt der Browser auch an. Formal ist das völlig korrekt, aber dem Bankkunden hilft diese zertifizierte Identitätsinformation nur bedingt weiter. Oder gelten SSL-Zertifikate nur in Verbindung mit Nachrichten aus dem Wirtschaftsteil?

Übrigens muss der arme Nutzer nicht nur zwischen Unternehmen und Marken unterscheiden, sondern auch zwischen echten und weniger echten Warnungen. Wer bei der Adresseingabe das Präfix www vergisst, dem macht die Technik unnötig Angst:

https://dresdner-privat.de

Auch dies ist formal völlig korrekt, hilft dem Nutzer aber nicht weiter. Er kann aus solchen Beobachtungen kein einfaches, konsistentes Sicherheitsmodell entwickeln. Verbraucherportale mit wohlmeinenden Tipps ändern daran nichts und lösen deshalb auch das Problem nicht.

Mehr Spaß mit SSL (in Firefox 3)

Dieser Tipp ist nicht neu, aber mein Leidensdruck war nicht so groß, dass ich aktiv danach gesucht hätte. Das Verhalten von Firefox bei formal ungültigen SSL-Zertifikaten lässt sich etwas weniger nervig gestalten:

  • about:config aufrufen
  • browser.xul.error_pages.expert_bad_cert auf true setzen
  • browser.ssl_override_behavior auf 2 setzen

(gefunden hier, Erklärung da).

Damit spart man sich ein paar unnötige Mausklicks.

Quick Fix for Firefox 2.0.0.17 Bug #456705: Crash on SSL Connect

[Get only posts in English]

After updating to 2.0.0.17, Firefox crashes if the FoxyProxy extension is installed. This renders the browser virtually useless. You won’t even be able to install the update that fixes this issue once there is one, since Firefox‘ automatic update function does, of course, use SSL. Some of the links in this post also point to HTTPS URLs, so if you are reading this post using Firefox because you have this problem, read to the end but don’t click anywhere.

To fix this issue and get Firefox to work again, you’ll have to uninstall the FoxyProxy extension before accessing any HTTPS URL. If Firefox is configured to start with a blank or non-SSL page and you do not want to restore a session containing HTTPS pages, you can probably do so from within Firefox. Go to Tools -> Add-ons, select FoxyProxy in the list that opens, and uninstall. Or is disabling FoxyProxy sufficient? Please leave a comment if you tried; I didn’t.

If Firefox for some reason tries to load an HTTPS page automatically when it starts, you will have to edit your Firefox profile. On Windows, profile data are usually found under C:\Documents and Settings\<your username>\Application Data\Mozilla\Firefox\Profiles\<random name>\. Note that Documents and Settings and Application Data may be named differently in localised versions of Windows. Under MacOS X the profile is stored under /Users/<your username>/Library/Application Support/Firefox/Profiles/<random name>, and on a Unix-style system such as Linux or *BSD you will probably find the path to you profile somewhere under your home directory. If you see a recently edited file named bookmarks.html, and the file contains your bookmarks, you found the right place.

Inside the profile directory you should see a subdirectory extensions and inside, one or more subdirectory. Find the one containing FoxyProxy, it will probably be named foxyproxy@eric.h.jung. Delete this subdirectory, or better move it elswhere just in case you made a mistake.

Now start Firefox again.

See also: Ubuntu Bug #274065; mozdev.org: FoxyProxy crashes Firefox 2.0.0.17 on shutdown; Firefox Support Forum: Firefox 2.0.0.17 crashes with foxyProxy 2.8.5, Bug #456705.

Update 2008-09-29: New versions of FoxyProxy are available. Installing version 2.8.6 or newer should fix the issue. The latest version is 2.8.8 now. If you haven’t updated your browser yet, it would be wise to update the extension first.