Skip to content

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

Buch »Privacy on the line« kostenlos verfügbar

Vor vielen Jahren legte ich mir bei Amazon eine Wunschliste an. Diese war zum einen als Merkzettel für mich gedacht und zum anderen konnten andere darauf zugreifen, um mir einen Wunsch zu erfüllen.

Dort landete unter anderem auch das Buch »Privacy on the line« von Whitfield Diffie und Susan Landau (Sie ist u.a. auch Tor-Unterstützerin.). Die Beschreibung klang sehr interessant:

In Privacy on the Line, Whitfield Diffie and Susan Landau strip away the hype surrounding the policy debate over privacy to examine the national security, law enforcement, commercial, and civil liberties issues. They discuss the social function of privacy, how it underlies a democratic society, and what happens when it is lost. This updated and expanded edition revises their original—and prescient—discussions of both policy and technology in light of recent controversies over NSA spying and other government threats to communications privacy.

Aber weder kaufte ich das Buch noch kaufte es mir eine andere Person. Aber jetzt habe ich einen Grund, es zu lesen. Das Buch kann über die Webseite kostenlos heruntergeladen werden. Auf https://mitpress.mit.edu/books/privacy-line findet ihr einen Download-Link, der euch direkt zur PDF-Version bringt. Das Buch ist weiterhin im Handel erhältlich und vermutlich werde ich es nach einigem Schmökern, dann doch endlich kaufen. ;-)

Securityheaders.io

Viele von euch kennen vielleicht die Seite SSLLabs.com, bei der sich die Einstellungen bezüglich TLS testen lassen. Wer wissen möchte, wie gut die Daten auf einer verschlüsselten Webseite geschützt sind, kann den Namen eingeben und SSLabs führt dann verschiedene Tests durch. Nach Beendigung gibt die Seite eine Einschätzung aus.

SSLLabs für kubieziel.de
SSL-Einstellungen für kubieziel.de im Dezember 2015

Nun ist TLS nicht die einzige Baustelle, was die Sicherheit im Web betrifft. Es gibt zahlreiche Schwachstellen, die ausgenutzt werden. Für einige dieser Schwachstellen wurden neue HTTP-Header eingeführt.

So gibt es beispielsweise einen, der dem Browser auffordert, die Seite ausschließlich über HTTPS aufzusuchen (HSTS). Die meisten aktuellen Browser unterstützen den Header. Daneben gibt es Header, die Schutz vor so genanntem Cross-Site-Scripting (XSS) bieten sollen sowie weitere mehr.

Die Seite securityheaders.io hat es sich zum Ziel gemacht, die Header der Webseiten zu testen und ein ähnliches Rating wie SSLLabs auszugeben. Auch hier erhaltet ihr einen schnellen Überblick über die Sicherungsmaßnahmen. Allerdings habe ich Einstellungen gefunden, wo das Rating aus meiner Sicht nicht gerechtfertigt ist. Die Seite hatte HSTS gesetzt und erhielt trotzdem nur ein sehr schlechtes Rating. Laut Aussage der Entwickler sind die aber dabei, das zu ändern. Testet die Seite doch mal aus!

Meine Seite hat derzeit folgendes Rating:

Bewertung der HTTP-Header bei kubieziel.de
Bewertung der HTTP-Header bei kubieziel.de

Wie ihr seht, fehlt derzeit CSP und das Key Pinning. Bei letzterem lässt sich aus meiner Sicht viel falsch machen. Da will ich erstmal noch ein paar Gedanken reinstecken, bevor ich den setze. Und CSP muss ich testen, inwieweit das mit dem Blog Probleme gibt. Wenn das passiert ist, steht einem A+ nichts mehr im Wege. :-)

Neues TLS-Zertifikat

Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.

Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:

B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8

Spam-3.7688

In meiner Inbox fand ich heute dieses nette Stück Spam:

<html>                                                                                                             
<head><title>401 Authorization Required</title></head>                                                             
<body bgcolor=“white”>                                                                                             
<center><h1>401 Authorization Required</h1></center>                                                               
<hr><center>nginx/1.2.1</center>                                                                                   
</body>                                                                                                            
</html>

 

Wenn man das HTML interpretiert, kommt dann sowas raus:

401 Authorization Required


nginx/1.2.1

Ich verstehe nicht, warum man sowas als Spam in die Welt hinaus schickt. Die Nachricht wurde von einer IP-Adresse aus Südafrika eingeliefert. Neben der From:-Adresse hat der Spammer keine weiteren Header-Zeilen übermittelt. Vielleicht wollte derjenige einfach, dass ich das blogge. :-)

Bericht der UN zu Verschlüsselung und Anonymität

Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:

  1. Wird verschlüsselte und/oder anonymisierte Onlinekommunikation durch das Recht auf Privatsphäre und die Redefreiheit geschützt?
  2. Wie können Regierungen diese Rechte gegebenenfalls einschränken.

Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.

Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy) und 4 (Evaluating restrictions on encryption and anonymity) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.

Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können.  Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:

States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.

Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!

Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.

tweetbackcheck