12 Reaktionen

Firefox 32: Mehr Sicherheit durch Public Key Pinning

Geschätzte Lesedauer:

Mozilla wird in der kommenden Woche Firefox 32 veröffentlichen. Mit der neuen Version unterstützt Firefox das sogenannte Public Key Pinning, was das Browsing sicherer machen soll.

Beim Public Key Pinning geht es darum, beim Besuch einer verschlüsselten Webseite zu überprüfen, ob das verwendete Zertifikat von einem vertrauenswürdigen Herausgeber stammt. Genauer gesagt erlaubt das Public Key Pinning die Definition, welche Zertifizierungsstelle gültige Zertifikate für eine bestimmte Webseite ausstellt, statt jedes beliebige Zertifikat zu akzeptieren, welches mit dem Browser ausgeliefert wird. Dies soll das Risiko von Man-in-the-middle-Attacken durch fälschlich ausgestellte Zertifikate reduzieren, wie es sie in der Vergangenheit schon öfter gab.

Firefox 32 unterstützt Pins, welche fix im Browser hinterlegt sind. Dies sind ab Firefox 32 Mozillas Add-on-Seite AMO und Mozillas CDN sowie einige Twitter-Domains. Mit Firefox 33 kommen die restlichen Twitter-Domains sowie die Domains von Google dazu. Ab Firefox 34 sind Pins für Firefox Accounts, Dropbox, Facebook und TOR integriert. In Zukunft möchte man auch die entsprechende HTTP-Erweiterung unterstützen, welche Webseitenbetreibern das Festlegen mittels HTTP-Header erlaubt.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

10 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Christian Schmidt
    schrieb am :

    Java funktioniert seit längerem nicht mehr ordnungsgemäß.

    Firefox 32 und Java V6.20 mittlerweile. Java Development Kit ist vorhanden und es soll immer nachgefragt werden.

    Trotzdem kommt immer wieder die Meldung Java nicht installiert oder aktiviert.

    Wie bekomme ich disen Fehler weg.

     

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich weiß jetzt ehrlich gesagt nicht, was das mit dem Thema dieses Artikels zu tun hat, aber ich schlage vor, in diesem Forum zu fragen:

    http://www.camp-firefox.de/forum/

    Da ich kein Java-Plugin installiert habe, kann ich dazu leider wenig sagen.

  3. Antares
    schrieb am :

    @ Christian Schmidt:

    Mal eine Frage, gehts um Java im Unternehmenseinsatz? Ich frage mich nämlich gerade, was du mit so einer alten Java-Version machst. Java 6 ist ja schon lange End of Life und aktuell sind eigentlich Java 7 Update 67 bzw. Java 8 Update 20, von daher kann ich mir das nur so erklären, dass du im Betrieb auf Java 6 wegen irgendwelcher Spezialanwendungen angewiesen bist.

    Ich würds ansonsten einfach mal mit der aktuellen ESR-Version probieren. Die sind ja für sowas da…

  4. Christian Schmidt
    schrieb am :

    Sorry.

    Es warein Tipfehler.

    Java Version v8.20.

    Java wird unter anderem für Finanzamt und Bürgerkarten Login benötigt, sowie HP Netzwerkgerät.

  5. Freiheit
    schrieb am :

    Habe ich das so richtig verstanden:

    Es wird hinterlegt, dass Website X nur ein Zertifikat von Ausstellungfirma Y, aber nicht von der Ausstellungsfirma Z haben darf, obwohl Firmen Y & Z gültige Ausstellungsfimren sind?

    Sollte dem so sein, wer legt das fest welche Website von wem das Zertifikalt erhält? Nur von Mozilla für einige bekannte Websites oder kann ich auch selber Zuordnungen festlegen?

    Danke.

    P.S.: Klingt nach einem guten Ansatz. 😉

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Der Betreiber der Webseite legt fest, welche Zertifikate gültig sind. Derzeit noch gemeinsam mit dem Browserhersteller, der diese Definitionen fix im Browser implementiert, in Zukunft per HTTP-Header.

  7. Wolfgang
    schrieb am :

    Kann man mit ein zwei Klicks auch alle CA aus Firefox raushauen? Denn wer will schon diese ganz lange Liste an nicht persönlich bekannten/vertrauten CA? Da sind ja Chinesische Austeller als auch Türkische dabei. Wie sich die bzw. deren Regierung verhalten (Gag order) dürfte ja spätestens seit der Youtube-Sperre in der Türkei bekannt sein.

    Allgemeines bei fefe:
    http://blog.fefe.de/?ts=b25933c5

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Naja, vertraust du Mozilla? Denn Mozilla vertraut diesen CAs. 😉 Ich bin kein Freund von Verschwörungstheoretikern wie es offensichtlich fefe ist (wird ja ganz oben auf der Seite angedeutet). In den Zertifikatseinstellungen von Firefox kannst du in jedem Fall mehrere Zertifikate markieren und löschen. Das funktioniert aber nicht, wenn du die jeweils übergeordneten Elemente mit markiert hast. Ich denke, die verschwinden dann von ganz alleine, wenn sie nach dem Löschen leer sind. Das Löschen will ich jetzt aber nicht ausprobieren. 😉

  9. wolfgang
    schrieb am :

    Wo ist fefe Verschwörungstheoretiker? Der verlinkt doch Fakten und gibt seinen sarkastischen bis zynischen Kommentar dazu ab. Auf der Seite ( http://blog.fefe.de/ ) steht „Verschwörungslinks“ und nicht Verschwörungstheorie!

    So, jetzt zum eigentlichen Thema:
    Mozilla hat Diginotar ( https://en.wikipedia.org/w/index.php?title=DigiNotar&oldid=611396132 ) und anderen ( https://en.wikipedia.org/w/index.php?title=Certificate_authority&oldid=624283962#CA_compromise ) vertraut. Da sieht man wie kaputt das CA-System ist, da es versucht Vertrauen auf eine zentrale Instanz auszulagern, welche auf Macht/Profitmaximierung getrimmt ist.

  10. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wo ist fefe Verschwörungstheoretiker? Der verlinkt doch Fakten und gibt seinen sarkastischen bis zynischen Kommentar dazu ab. Auf der Seite ( http://blog.fefe.de/ ) steht “Verschwörungslinks” und nicht Verschwörungstheorie!

    Das war meine Annahme auf Grundlage dessen, was oben auf seiner Seite steht und in welchem Zusammenhang er hier in den Kommentaren genannt worden ist, da ging ich nicht von Zynismus aus. Ich kenne fefe nicht und habe mir nicht seine Artikel durchgelesen. Wenn das ein voreiliger und falscher Schluss war, dann vergiss diesen Halbsatz und wir belassen es einfach bei: Ich bin kein Freund von Verschwörungstheorien. 😉

    Das Zertifikats-System im Allgemeinen hat sicherlich Schwächen, aber diese Schwächen löst man meiner Meinung nach nicht durch das Löschen von Root-Zertifikaten. Sobald du eine Webseite aufrufst, welche über eine gesicherte Verbindung läuft (übrigens auch dieser Blog seit kurzem), bekommst du dann nur noch eine Fehlermeldung und musst eine Ausnahme hinzufügen. Du willst die Seite aufrufen, deswegen steuerst du sie ja an, fügst also die Ausnahme hinzu. Das wäre wohl der naheliegendeste Ablauf. Was ist dann gewonnen? Das erinnert mich an viele NoScript-Blocker, die sich sicher fühlen, weil sie JavaScript erst einmal grundsätzlich deaktiviert haben, aber dann, wenn es die Seite erfordert, die Seite eh wieder als Ausnahme hinzufügen. Der Sicherheits-Gewinn liegt praktisch bei null und diese Nutzer könnten JavaScript gleich aktiviert lassen, hätten dann aber viel weniger Umstände.

    Sicherheit geht immer über Vertrauen und das ist genau der Schwachpunkt, der sich nicht lösen lässt. Man muss dem Hersteller seines Browsers trauen, man muss weiter den Webseiten vertrauen und auch darauf vertrauen, dass eigentlich vertrauenswürdige Webseiten nicht kompromittiert wurden, denn von denen, denen man am meisten vertraut, geht erwiesenermaßen die größte Gefahr aus, weil diese eben statistisch häufiger angegriffen werden. Letztlich ist es egal, wem wir vertrauen; da wo wir vertrauen, ist immer das Potential für Ausnutzung. Aber wir müssen eben vertrauen, weil wir keine Kontrolle über alles haben, gar nicht haben können. Und da ist das existierende Zertifikats-System immer noch sehr viel besser als überhaupt keine Instanz auf dieser Ebene zu haben, der man vertrauen kann. Hundertprozentig sicher ist bekanntermaßen abgesehen vom Amen in der Kirche überhaupt nichts, eine grundsätzliche Gefahr besteht immer. Und das Public Key Pinning, um welches es in diesem Artikel ja geht, stellt eine Verbesserung des bisherigen Schutzes auf dieser Ebene dar.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen