[geklärt] MITM bei LetsEncrypt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
bluestar
Beiträge: 2346
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: MITM bei LetsEncrypt?

Beitrag von bluestar » 29.12.2018 10:14:23

Lohengrin hat geschrieben: ↑ zum Beitrag ↑
29.12.2018 05:09:25
 Ah! Jetzt wird mir einiges klarer!
Ich muss zeigen, dass ich meinen DNS-Eintrag verändern kann, bevor LetsEncrypt mir die Verbindung zwischen meinem öffentlichen Schlüssel und meinem Domainnamen bestätigt. Das kann der beim ISP oder der in meinem DSL-Modem nicht. Also kriegt der kein Zertifikat auf meine Domain.
Habe ich das richtig verstanden?
Ja das hast du richtig verstanden.
Lohengrin hat geschrieben: ↑ zum Beitrag ↑
29.12.2018 05:09:25
 Geht das auch mit DynDNS? Kann ich da in meinem DNS-Eintrag das geforderte Challenge erfüllen?
Da müsstest du wohl mal die gängigen DynDNS-Anbieter durchtesten...

Ich hab feste IPs und eine DNS-Server und für Bekannte auch nen eigenen DynDNS-Service
Nach oben
Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: MITM bei LetsEncrypt?

Beitrag von Lohengrin » 29.12.2018 11:05:42

bluestar hat geschrieben: ↑ zum Beitrag ↑
29.12.2018 10:14:23
 Ja das hast du richtig verstanden.
Danke! Damit ist meine ursprüngliche Frage geklärt.
Harry, hol schon mal das Rasiermesser!
Nach oben
Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: MITM bei LetsEncrypt?

Beitrag von Lohengrin » 31.12.2018 19:30:26

wanne hat geschrieben: ↑ zum Beitrag ↑
29.12.2018 02:29:39
 Damit sind Seiten, die DNSSEC und DNS challenge validation machen wirklich sicher.
Die Formulierung sind wirklich sicher ist etwas Absolutes. Es ist im Rahmen der Möglichkeiten von X.509 sinnvoll.
Das Problem ist die Identität, und das ist ein X.509-Problem. Die Autorität bestätigt die Verbindung zwischen der Identität und dem öffentlichen Schlüssel. Eine Autorität, die einen Reisepass überprüft, verlässt sich auf die Behörde, die den Pass ausstellt. Eine Autorität, die die Fähigkeit den DNS-Eintrag zu verändern überprüft, verlässt sich auf DNS.

Inzwischen bin ich der Meinung, dass die Fähigkeit, den DNS-Eintrag zu verändern, als Identität zu nehmen, eine sehr gute Entscheidung ist. Bei TLS geht es letztendlich nur um den DNS-Eintrag. Mir fällt keine bessere Identität für diesen Zweck ein.
Dass diese Autorität lügen kann, dass eine Autorität bei DNSSEC lügen kann, dass es bei DNS, weil es da einen gemeinsamen Namensraum für jeden gibt und die Namen nicht zufällig entstehen, zwangsläufig Namensstreit gibt, ist ein Problem, das nicht im Rahmen von TLS gelöst werden kann. Also sollte man auch nicht den Anschein erwecken, es lösen zu können.
Harry, hol schon mal das Rasiermesser!
Nach oben
Benutzeravatar
bluestar
Beiträge: 2346
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: MITM bei LetsEncrypt?

Beitrag von bluestar » 31.12.2018 23:34:35

Lohengrin hat geschrieben: ↑ zum Beitrag ↑
31.12.2018 19:30:26
 Dass diese Autorität lügen kann, dass eine Autorität bei DNSSEC lügen kann
Theoretisch kann jede Art von Autorität lügen, bzw. Identitäten fehlerhaft bestätigen.
Nach oben
Antworten

Zurück zu „Sicherheit“