Kritik an Microsoft: Windows vertraut Zertifikat der Thai-Diktatur

Der Software-Konzern Microsoft ist aufgrund seines Umgangs mit einem neuen SSL-Zertifikat aus Thailand in die Kritik geraten. Dem Unternehmen wird vorgeworfen, leichtfertig Nutzer einem Risiko auszusetzen. Kein anderer Anbieter bringt dem fraglichen ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Weiß jetzt nicht wo der Aufreger ist, Thailands Bewohner haben doch nichts zu verbergen.
\Ironie off
Es ist schon immer "gute" Politik Microsofts gewesen, mit allen zusammenzuarbeiten, nun ja mit den "Mächtigen", die Nutzer kommen irgendwo am Ende einer sehr, sehr langen Liste.
 
@Kribs: Daß Microsoft die nationale Souveränität respektiert und ungeachtet politischer Übereinstimmung mit allen zusammenarbeitet, sehe ich als hohes demokratisches Plus. Anders als Google, die ihre Technologie zur Unterstützung von Fake-Revolutionen wie dem "arabischen Frühling", dem "Maidan" zur Verfügung stellen. Libyen ist total zerstört und befindet sich seit 2011 durchgehend im Bürgerkrieg, Syrien, siehe Aleppo hat nur in den Regierungskontrollierten gebieten nicht extrem gelitten, in der Ukraine herrscht eine faschistische Oligarchen-Junta, die Antifaschisten unterdrückt und das Land ausverkauft. Finde ich sehr Lobenswert, daß MS sich an solchen imperialistisch gesteuerten Umstürzen nicht aktiv beteiligt.
 
Verstehe das Problem nicht: das Zertifikat soll doch sicherstellen, dass die Seite mit der ich Verbunden bin auch tatsächlich dem entsprechenden Inhaber gehört. Wenn ich jetzt also auf der Seite der Thailändischen Regierung surfe, soll ich auf ein mal eine Benachrichtigung bekommen, dass ich der Seite nicht vertrauen kann?
 
@terminated: es ist ein root-Zertifikat, d.h. Microsoft vertraut automatisch allen Zertifikaten, die mit diesem Zertifikat signiert sind. Also könnte die Thailändische Regierung alle möglichen Zertifikate fälschen.
 
@eshloraque: bei der NSA störts doch auch keinen, warum aber bei sonem kleinen ThaiSchuppen?
 
@bLu3t0oth: Weil "wir", der Westen (USA + Anhang) die guten sind und auch darüber befinden, wer gut und wer böse ist. Wer das nicht glaubt, ist ohnehin ein Verschwörungstheoretiker oder gehört zu Putin's Online Armee. ^^
 
Schlimmer als die ganzen anderen CAs, die Zertifikate an Spammer verkaufen, die Beantrager nicht überprüfen, auch mal gegen Geld ein falsches Zertifikat vom Stapel lassen oder der usamerikanischen Jurisdiktion unterliegen, kann es ja die thailändische Regierung auch nicht machen, oder?

Im übrigen: ist Guantanamo und Abu Greib und Co schon geschlossen worden?
 
Naja, das mit den Zertifikaten ist ohnehin vom design her Gebrochen. Schaut man sich mal an, was da sonst so im Zertifikatsspeicher liegt, stellt sich auch die Frage, ob das alles so vertrauenswürdig ist.
Da sollte man mal einen neuen Standard einführen, der das Problem löst.

Leider ist es aktuell in der Praxis doch das einzige, das wir funktionierend haben...
 
@FensterPinguin: TLSA ist ein guter standard, das läuft über DNSSec und es gibt nur sehr wenige die da mist generieren können. das sind die ICANN mit dem Rootkey (der aber extrem gut geschützt ist un es 7 Leute braucht, von denen einige nix mit der ICANN Zutun haben, um da ran zu kommen), der Verwalter der TLD, dein Registrar und natürlich der inhaber selbst. weit weniger als die knapp 180 CAs die Moz in der Liste hat.

für DV Reicht TLSA jedenfalls aus und die CAs kann man ja sonst noch für die Identitätsprüfung heranziehen aber eben dass das cert trotzdem im TLSA stehen muss also der Domainbesitzer das Cert nochmal selbst bewilligt hat.
 
Ach... ich meine... also es hat in der Vergangenheit nie irgendwelche Probleme mit diesem SSL Gedöns gegeben, dass das Zertifikat also doch nicht so vertrauenswürdig war? Und täuscht mich mein Gedächtnis, oder gab es in den Browsern Chrome und Firefox nicht SSL Zertifikate, wo MS auch gesagt hat "Nein Danke" und was sich sogar in ein paar Fällen im Nachhinein als gute Entscheidung herausstellte?
Nein, die Probleme mit dem Vertrauen von SSL Zertifikaten ist alles andere als neu und einmalig.
 
Und Mozilla vertraut Root-Zertifikaten der chinesischen Regierung... https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/lib/ckfw/builtins/certdata.txt (was ich persoenlich wesentlich kritischer sehe, da selbige an einem wesentlich groesseren Kontrollwahn leidet).
 
Wo soll der aufreger sein? man muss doch nur mal durchgehen was in allen Produkten am markt an root ca`s drin ist...am ende kann man immer nur zu dem schluss kommen dass, das heutige ca system kein vertrauenswürdiges system ist.
Ob da nun eins von Thailand, USA, china, England, Deutschland, Russland oder sonstigen drin ist macht den kohl nicht fett
 
Und jetzt ?
Will uns die Privacy International nun damit sagen das Microsoft zu Boykottieren ist und ähnlich wie mit Fellträgern verfahren werden soll ?
Wo sind denn die Privacy International Angehörigen die regelmäßig an Flughäfen Informieren und von Reisen nach Thailand oder ähnlich Kritisch zu Betrachtende Länder z.B. China abratenden ?
Man könnte ja die Liste um einige Länder erweitern wenn man danach geht gäbe es kaum Akzeptable Zertifikate die von Regierungen stammen.
Also wirklich lassen wir jetzt doch mal die Kirche im Dorf selbst wenn die Regierung damit böses vor hat mit oder ohne Zertifikat würden die das machen es macht die Sache nur um ein paar Schritte einfacher.
 
Der Einwurf ist schon berechtigt.

Das Problem ist aber, daß nicht Windows irgendjemandem vertraut. Wie sollte es auch? Das ist ein Betriebssystem.

Es sind die NUTZER, die dem Zertifikat vertrauen sollen (müssen). Dann darf man sich aber auch nicht hinstellen und die Kontrolle darüber aus der Hand geben. Ja, das ist aufwendig, aber wenn man selber seinen Zertifikatsspeicher kontrolliert, dann ist die Vertrauensbasis da, wo sie hingehört: in der eigenen Hand und wenn dann was schiefgeht, dann war man nur selber einem Bären aufgesessen gewesen.

Aber in der Praxis ist das ja kein Problem, ich mein dank SSL ist ja da nun ein grünes Schloß und also ist das sicher.
 
@RalphS: Das wurde doch eigentlich im Artikel gut herausgestrichen: Es geht da explizit um die White-List, NICHT um den Nutzer selber. Der Nutzer kann nicht (bis auf wenige Experten auf dem Gebiet) selber entscheiden, in wieweit ein Zertifikat sicher ist. Da ihn das auch zu 99,9% nicht interessiert, machen das die Browser in den meisten Fällen mit White-Lists. Und da macht es einen riesen Unterschied ob bei diesen zwielichtigen Zertifikaten eine Warnung kommt (Firefox, Chrome, ...) oder das von dir angesprochene grüne Schloss kommt.
 
@Hans3: Richtig. Streitet auch niemand ab.

Problem an diesem Ansatz ist nur: es macht SSL komplett... wertlos.

Wenn wir da wieder mal die Schlüssel-Schloß-Analogie rauskramen, läuft das so nämlich darauf hinaus, daß wir soviele Schlüssel haben die in soviele Schlösser passen daß wir da nicht mal ansatzweise mehr durchsehen... und die ultimative Lösung, für die wir uns daher entscheiden, die ist, daß wir eben unsern kompletten Schlüsselbund an irgendeinen Unbekannten abtreten. Sollen die doch damit machen was sie wollen.
 
@RalphS: Ja, das stimmt. Man kann sich bei diesem System wirklich nur überlegen, ob man jedem vertraut oder dem "Schlüsselmacher" (also dem, der die Schlüssel verwaltet wie MS, Mozilla, Google, ...).

Ausgehend von dem wäre eine gute Lösung, die Whitelist-Verwaltung einer unabhängigen Organisation zu überlassen, die über gut und böse entscheidet und diese Entscheidungen öffentlich dokumentiert mit Begründung.
 
Soll man darüber lachen ?
Die Organisation sitzt in London, also GB.
Und diese Beschweren sich über Thailand ?

Dummerweise haben sie bloß nicht mitbekommen das sie GB mit 1,4 selber schlechter bewerten als Thailand was mit 1,5 besser dasteht als sie selber.
 
@marcol1979: Um was fuer Bewertungen handelt es sich? Wo sitzt die Organisation, die diese Bewertungen herausgibt?
 
@JanKrohn: Die genannte Menschenrechtsorganisation Privacy International

https://de.wikipedia.org/wiki/Privacy_International
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen