So langsam geht mir die Sicherheitspolitik vom FF3 echt auf den Nerv.
Argumentiert wird von den Entwicklern, daß der Benutzer auf unsicherer Zertifikate hingewiesen werden soll. Das ist sicher schön und gut. Aber leider ist es gleichzeitig so, daß solche Zertifikate, welche dem FF3 unbekannt sind, auf eine Weise markiert werden, daß Benutzer verunsichert werden. Auch dann, wenn das Zertifikat sicher ist und auch hohen Ansprüchen gerecht wird, aber nur dem FF3 nicht bekannt ist.
Es bleibt dem schnell klickenden User verborgen, daß es dabei gar nicht um die Verschlüsselung auf den Kommunikationsweg geht.
Ich kann da verstehen, warum alle deutschen Universitäten derzeit ein großen Problem mit dem FF3 haben: Die Universitäten nutzen die PKI des DFNs, welches auf das Root-Zertifikat von der Telekom zurückgeht. Dieser Root-Zertifikat von der Telekom ist jedoch, trotz eines alten Bugzilla-Eintrags und immer wieder eingeschlafender Diskussion nicht in den Firefox eingegangen. Was ich verstehe, denn die Telekom-Leute haben anfangs einfach lausig Auskunft gegeben und waren und sind zeitlang nicht in der Lage, richtig mit den Leuten zu sprechen und die Informationen auch in englischer Sprache zu liefern.
Zitat:
T-Systems is addressing the German speaking market. Thus CP and CPS are written in German
Quelle: Diskussion im Bugzilla-Eintrag und in der Public Phase .
Dem DFN kann man aber sicher vorhalten, daß diese nicht längst die Reißleine gezogen haben und sich an einen anderen Dienstleister wandte.
(Andererseits werden die beiden Informatiker in Hamburg wohl kaum mit den entsprechend notwendigen Befugnissen ausgestattet sein; Bei so einer Entscheidung spielt dann eher Politik eine Rolle :( )
Ich empfinde es aber als sehr ärgerlich, wenn es allein an der dilletantischen Kommunikation einer Firma liegt, wenn ein Zertifikat nicht reinkommt.
Zumal eines, bei dem die Hürden für die Erstellung einzelner Zertifikate bei den SubCAs (z.B DFN) recht hoch sind:
Diese Überprüfung erfordert in jedem Fall ein persönliches Treffen zwischen einem CA-Administrator und einem Mitarbeiter der DFN-PCA. Für den Prozeß der Verifikation ist die Vorlage eines Personalausweises/Reisepasses bzw. eines vergleichbaren Dokumentes erforderlich.
Quelle: DFN-PKI: WWW Policy
Denn gleichzeitig werden von Firefox Billig-Zertifikate akzeptiert, derren Prüfung des Zertifikat-Requests allein auf einer Mail und einer Überweisung beruhen:
After receiving the authorisation email we will send another email containing a link Click on it and the payment web page will appear. The company information will be validated after payment has been made (in case it is not a free certificate).
Quelle: IPS-CA
Diese Billig-Zertifikate, die sich jeder holen kann, werden letzlich von den unbedarften Benutzer als sicher anerkannt. Während andere, die nur Browser nicht kennt, dies dann nicht sind.
Ob dies dann wirklich so viel sicherer ist?
Mit wenigen Handgriffen Mausklicks, etwas Server Redirection und etwas Phishing ist es jedem Black-Webworker möglich, mit Hilfe eines Billig-Zertifikate so zu tun, als ob die Verbindung sicher ist.
Und FF3 wird dazu den Segen geben.
Unerträglich empfinde ich es aber, wenn ich der Browser bei einigen ihm nicht bekannten Zertifikaten (wie bei obigen Webseite mit der Roadmap zu SELFHTML) selbst die manuelle Registrierung und Prüfung verweigert. – Die einzige Möglichkeit, die Seite aufzurufen war für mich die Nutzung des IE.
(Update: Jetzt geht der Zugriff auf die Roadmap wieder. Es geschehen Zeichen und Wunder)
Ja, aber das Problem ist ja noch etwas anders: Früher gab es keine Richtlinien, nach welchen Kriterien Zertifikate in FF aufgenommen werden. Da die T-Com zu langsam war wird sie jetzt an den neuen Richtlinien gemessen. Das ist doof, aber ist nun mal so.
Und das mit dem DFN ist auch ein anderes Problem: Hier geht es nicht um die Richtlinien des DFN, sondern dass die T-Com keine Richtlinien für sub-CAs hat. Dass das DFN strengere Maßnahmen hat als nötig hilft da leider nicht viel, weil das ja nicht das Problem ist. – Schließlich soll das T-Com Zert und nicht das DFN-Cert aufgenommen werden. Wahrscheinlich wäre es leichter das DFN-Cert aufzunehemn, weil das DFN genaue Richtlinien für sub-CAs hat.
Ja, aber die Leute beim DFN sind ja Informatiker, die die Sache ernst nehmen. Die reden dann von einer echten sicheren Signatur mit all dem Brimborium der dazu gehört. Angefangen von einer persönlichen Sichtkontrolle der Kunden, bis hin zu einem bombensicheren Serverraum mit einem Sicherheitskonzept, welches die Daten 20 Jahre garantiert.
Wünschenswert, aber leider Elfenbeinturm.
Im Prinzip: Das ganze wurde allein durch Gremien auf politischer Ebene alles beschlossen und nicht durch praktisch denkende Leute, die echten Kundenkontakt haben.
Auf der anderen Seite nervt das unterschwellige Gusto mit dem mit den von der Telekom den Mozilla-Leuten kommuniziert wird: „Wir großes, weltweites, unersetzliches, einziges Unternehmen. Ihr, kleinen Nichtlinge sucht euch die Infos bei unseren Texten raus, egal ob wir quoten oder englisch können oder nicht.“
Was mich aber jetzt richtig sauer machte, ist das Statement des Telekomikers vom 1.8.:
„We will urge our Webtrust auditor to make exlicit statements about our behaviour as a root after the first reaudit in November. We are willing to take the risk to be the first root that was expelled from Mozilla, if you are not satisfied with the next audit report of the auditor.“
Indirekt sind wir hier die Leidtragenden, die Kunden.
Keiner von uns wurde gefragt, ob wir bis November warten können oder wollen.
Ich bin jedenfalls nicht willens, so lange zu warten. Diese beiden hochbezahlten Telekomiker hatten 15 Monate Zeit, ordentliche englischen Texte schreiben zu lassen und eine Erfassung all ihrer SubCAs mit allen Policys der SubCas zusammenzufassen. Das haben die nach wie vor nicht gemacht.
Wahrscheinlich in dem Zusammenhang liegt auch das nicht angekündigte „Notfallzertifikat“, welches die Telekomiker dem DFN-Mitgliedern für ein Jahr anbietet, um diese zu beschwichtigen.
Dieses funktioniert dann auch im Firefox… denn bei diesem Zertifikat, hat die Telekom selbst sich als SubCA von Globalsign (!) etwas geholt, was sie dann an uns weitergibt. Wenn es denn wichtig sei…
(Dazu haben wir ein Testantrag gestartet. Mal sehen, wieviele WOchen das dauert.)
Ja, das ist wie mit dem Deutschen Signaturgesetz: Die Hürden sind so hoch, dass es nur von Leuten verwendet wird, für die es sich wirklich lohnt. Alle anderen verwenden Unterschrift und Email-to-Fax-to-Email Gateways, damit es auch Rechtskräftig ist. *vogel zeig* Ach ja, und dann sind die nach deutschem Signaturgesetz zugelassenen Rootzertifikate nirgendwo eingebunden. Das heißt damit unterschriebene Zertifikate werden grundsätzlich mal als nicht gültig erkannt. Wie gut, dass unsere Entscheidungsträger großartige Theoretiker sind….. (Hat jetzt zwar nicht wirklich was mit dem Thema zu tun, aber ist gerade hoch gekommen.)