HTTPS - Welchen Fingerabdruck habt ihr?
Verfasst: 05.12.2013, 22:56
Bei mir ist es dieser:
SHA-1: 85 FD A3 07 04 BE 96 C2 DE 61 79 9C D7 88 1B 1E 38 42 84 F5
Und was soll das?
Hier im Sichergeitsforum gab es mal eine Diskussion über die Vor- und Nachteile der verschlüsselten Verbindungen (https) zum GLF.
Dabei hat Ovid sehr richtig darauf hingewiesen, dass bei selbst ausgestellten Zertifikaten - wie beim GLF der Fall - die Möglichkeit eines Man-in-the-Middle-Angriffs besteht. Und um diesem vorzubeugen muß man den Fingerprint des benutzten Zertifikates vergleichen.
Der Man-in-the-middle-Angriff läuft ganz grob so ab:
Ich möchte gerne eine verschlüsselte https-Verbindung zum GLF aufbauen und tippe in der Browser-Adresszeile "https://www.girlloverforum.net". Der GLF-Server schickt mir nun sein Zertifikat, das ich für die Verschlüsselung benötige. Leider läuft aber meine Verbindung zum GLF über den Rechner eines Angreifers, der mitliest ohne das ich etwas davon bemerke. Der Angreifer erhält nun das GLF-Zertifikat, aber anstatt es an mich durchzureichen, schickt er mir seins, das er (genauso wie die Admins des GLFs) selbst ausgestellt hat. Ich bemerke davon nichts und verschlüssele nun meinen Internet-Traffic zum GLF mit dem Zertifikat des Angreifers. Dieser entschlüsselt, liest frech mit und leitet die Daten nun ans GLF. Die Daten, die vom GLF zurückkommen liest der Angreifer wieder mit, verschlüsselt dann alles mit seinem Zertifikat und leitet es an mich. Ich entschlüssele die Daten vom GLF und finde mich total cool, weil ich jetzt ultra-privat mit dem GLF kommuniziere.
Würde ich jedoch das echte Zertifikat des GLF kennen, würde ich erkennen, dass es nicht das selbe ist, wie das welches ich grade benutze (es gehört ja dem Angreifer), wäre alamiert und würde mich nicht im Forum einloggen.
Aber selbst wenn ich das Zertifikat kennen würde, wäre es recht mühsam, die langen Zahlenkolonnen mit einander zu vergleichen. Deshalb kann man mit einer mathematischen Funktion eine Art Fingerabdruck davon errechnen, welcher schon viel besser zu Vergleichen geht. Mein Browser benutzt dazu die Funktion "SHA-1" und oben steht der Fingerabdruck des Zertifikates, von dem ich hoffe, dass es das echte GLF-Zertifikat ist.
Ihr könnt es leicht bei euch nachsehen (sollte bei allen Browsern ähnlich sein):
Klickt in Firefox auf das kleine Schloss links in der Adresszeile. Dann auf "Weitere Informationen" > Sicherheit > Zertifikat anzeigen
Unten stehen dann die Fingerabdrücke zweier sog. mathematischer Hash-Funktionen, von denen man dann aber nur eine zu vergleichen braucht. Ich nehme SHA-1 weil sicherer.
Habt ihr nun den selben Fingerabdruck?
SHA-1: 85 FD A3 07 04 BE 96 C2 DE 61 79 9C D7 88 1B 1E 38 42 84 F5
Und was soll das?
Hier im Sichergeitsforum gab es mal eine Diskussion über die Vor- und Nachteile der verschlüsselten Verbindungen (https) zum GLF.
Dabei hat Ovid sehr richtig darauf hingewiesen, dass bei selbst ausgestellten Zertifikaten - wie beim GLF der Fall - die Möglichkeit eines Man-in-the-Middle-Angriffs besteht. Und um diesem vorzubeugen muß man den Fingerprint des benutzten Zertifikates vergleichen.
Der Man-in-the-middle-Angriff läuft ganz grob so ab:
Ich möchte gerne eine verschlüsselte https-Verbindung zum GLF aufbauen und tippe in der Browser-Adresszeile "https://www.girlloverforum.net". Der GLF-Server schickt mir nun sein Zertifikat, das ich für die Verschlüsselung benötige. Leider läuft aber meine Verbindung zum GLF über den Rechner eines Angreifers, der mitliest ohne das ich etwas davon bemerke. Der Angreifer erhält nun das GLF-Zertifikat, aber anstatt es an mich durchzureichen, schickt er mir seins, das er (genauso wie die Admins des GLFs) selbst ausgestellt hat. Ich bemerke davon nichts und verschlüssele nun meinen Internet-Traffic zum GLF mit dem Zertifikat des Angreifers. Dieser entschlüsselt, liest frech mit und leitet die Daten nun ans GLF. Die Daten, die vom GLF zurückkommen liest der Angreifer wieder mit, verschlüsselt dann alles mit seinem Zertifikat und leitet es an mich. Ich entschlüssele die Daten vom GLF und finde mich total cool, weil ich jetzt ultra-privat mit dem GLF kommuniziere.
Würde ich jedoch das echte Zertifikat des GLF kennen, würde ich erkennen, dass es nicht das selbe ist, wie das welches ich grade benutze (es gehört ja dem Angreifer), wäre alamiert und würde mich nicht im Forum einloggen.
Aber selbst wenn ich das Zertifikat kennen würde, wäre es recht mühsam, die langen Zahlenkolonnen mit einander zu vergleichen. Deshalb kann man mit einer mathematischen Funktion eine Art Fingerabdruck davon errechnen, welcher schon viel besser zu Vergleichen geht. Mein Browser benutzt dazu die Funktion "SHA-1" und oben steht der Fingerabdruck des Zertifikates, von dem ich hoffe, dass es das echte GLF-Zertifikat ist.
Ihr könnt es leicht bei euch nachsehen (sollte bei allen Browsern ähnlich sein):
Klickt in Firefox auf das kleine Schloss links in der Adresszeile. Dann auf "Weitere Informationen" > Sicherheit > Zertifikat anzeigen
Unten stehen dann die Fingerabdrücke zweier sog. mathematischer Hash-Funktionen, von denen man dann aber nur eine zu vergleichen braucht. Ich nehme SHA-1 weil sicherer.
Habt ihr nun den selben Fingerabdruck?