Avatar von reichhart
  • reichhart

mehr als 1000 Beiträge seit 06.01.2000

Test ist nicht kompliziert

Askaaron schrieb am 09.02.2018 18:08:

Valentin Hilbig schrieb am 09.02.2018 16:33:

Von Admins erwarte ich, dass diese sehr gut und sehr exakt wissen, ob und wo sie etwas aus dem Dunstkreis von Symantec im Einsatz haben. Weil ihnen das weh tut!

Oder anders gesagt: Wenn jemand DAS NICHT WEISS, dann, sorry, spreche ich ihm rundweg jegliche Kompentenz ab. Demnach ist er dann auch ganz sicher kein Admin!

Wieso sollte es einen Endnutzer interessieren, ob irgendeine Website in naher Zukunft mit Chrome Probleme haben könnte? Das merkt er sowieso.

Für Admins ist es aber hilfreich, wenn sie daran erinnert werden, dass sie aktiv werden müssen.

Und auch das hier sollte man bedenken:

"Betroffen sind nicht etwa nur direkt von Symantec ausgestellte Zertifikate. Alle Zertifikate, deren Vertrauenskette auf Symantec zurück geht, wird das Vertrauen entzogen. Das betrifft unter anderem CAs wie GeoTrust, RapidSSL und Thawte."

Dass jemand nicht sofort im Kopf hat, dass sein Zertifikat von Thawte auch betroffen ist, weil dessen Kette bis auf ein nicht mehr akzeptiertes Zertifikat von Symantec zurückreicht, ist für mich auch kein Zeichen absoluter Inkompetenz.

Ich teile beide Ansichten.

Einerseits schaue ich selbst doch nach, wenn ich ein Cert installiere, wo es herkommt und wie die Chain bis in die trusted list vom OS oder vom Browser auflöst. Das behalte ich doch dann ungefähr im Hinterkopf, was ich für eine Kette habe. Somit würde ich jetzt Bescheid wissen, dass mein Server-Cert betroffen wäre.

Andererseits ist Verschlüsselung, Cert-Handling etc. für die meisten modernen Lightweight-Admins (nach meiner Erfahrung gehören Docker- und systemd-Fanbois oft dazu) ein Buch mit sieben Siegeln. Das ist verständlich.
(Das muss und darf eigentlich nicht sein. Dafür soll Snowden nicht umsonst geflüchtet sein!)

Beispiel spon.de:
Ich ignoriere hier mal, dass spon.de existiert, aber das ausgelieferte Cert nicht dafür gültig ist.
Die Befehle:

$ openssl s_client -showcerts -verify 5 -connect www.spon.de:443 < /dev/null 2>/dev/null |sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' >1 $ tail -n +2 1 |sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' >2 $ openssl x509 -text -noout <1|egrep -i 'geo|sym' Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust SSL CA - G3 URI:http://gn.symcb.com/gn.crl CPS: https://www.geotrust.com/resources/repository/legal Explicit Text: https://www.geotrust.com/resources/repository/legal OCSP - URI:http://gn.symcd.com CA Issuers - URI:http://gn.symcb.com/gn.crt $ openssl x509 -text -noout <2|egrep -i 'geo|sym' Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA Subject: C=US, O=GeoTrust Inc., CN=GeoTrust SSL CA - G3 URI:http://g1.symcb.com/crls/gtglobal.crl OCSP - URI:http://g2.symcb.com CPS: http://www.geotrust.com/resources/cps DirName:/CN=SymantecPKI-1-539

Es ist leicht und schnell zu prüfen.
Von daher würde ich dem O-Poster zu ca. 70% zustimmen.

Bewerten
- +
Anzeige