TLS Verschlüsselung vermutlich nicht mehr aktuell

Danke für Eure Anregungen.
Korona
könnte auch hier einziehen
Beiträge: 558
Registriert: So 15. Sep 2013, 21:17
Diagnose: CU

Re: TLS Verschlüsselung vermutlich nicht mehr aktuell

Beitrag von Korona »

.............ja, super zusammengefasst, Franz, danke!

Nur: Frage an die Admis: ich wollte schon vor einiger Zeit eine andere Email-Adresse unter den Registrierungsdetails einpflegen, und muss die dort nur durch Wiederholung der Email bestätigen. ich bekomme dann aber immer den Fehlerhinweis, ich hätte mein aktuelles Passwort nicht angegeben. Es gibt aber kein Feld dafür.....hab ich da was übersehen, oder ist da ein Fehlerteufel unterwegs?

Danke für eine Info dazu!
LG Korona

Benutzeravatar
Cats
ModeratorIn
Beiträge: 743
Registriert: Do 20. Dez 2012, 19:19
Diagnose: MC seit 1978

Re: TLS Verschlüsselung vermutlich nicht mehr aktuell

Beitrag von Cats »

Hallo Korona,

ich habe dir zu der Problematik eine PN geschickt.

LG Marina
Wege entstehen dadurch, dass man sie geht.

pro
ist öfter hier
Beiträge: 23
Registriert: Fr 22. Mär 2013, 11:39

Re: TLS Verschlüsselung vermutlich nicht mehr aktuell

Beitrag von pro »

Hey, Ihr. Ich hab jetzt erst eure Antworten gelesen und wollte nochmal Stellung beziehen. Ich kann dem Großteil von dem was Ihr geschrieben habt zustimmen. Allerdings habe ich in zwei wichtigen Punkten eine andere Meinung:

1. Es geht hier um SEHR SENSIBLE DATEN!

Was könnte wohl alles passieren, wenn öffentlich bekannt wäre, wer hier ernsthaft erkrankt ist?
Bekomme ich dann noch einen Job oder eine Versicherung? Würde ich gemoppt werden, weil ich "was mit dem Darm" habe? Wie reagiert wohl die Person, die ich als nächstes zum Rend-de-vous einlade?

Das sind nur ein paar Situationen die mir ad-hoc in den Sinn kommen, in denen man in einer deutlich schlechteren Position wäre, wenn diese eine Information bekannt würde. Ganz zu Schweigen von den Details die hier ausgetauscht werden. Und ja. Solche Informationen werden gesammelt und sie sind Geld Wert. OK, dass ein Angreifer mit dem Ziel hier herkommt um genau diese Daten zu erbeuten und zu Geld zu machen ist unwahrscheinlich, aber Gelegenheit macht Diebe.

2. Passwörter

Die Sicherheits-Tipps die hier gegeben wurden sind wohl größtenteils klug. Dennoch, die Passwörter gehen über die Leitung. Das kann beispielsweise auch schon mal ein unverschlüsseltes WLAN sein. Wenn dann noch der Login im Klartext erfolgt ist es einfach Passwörter abzufangen. Knackbare Verschlüsselungen sind defacto Klartext.
Wie groß der Rechenaufwand ist und ob den wirklich nur Organisationen in der Größenordnung von Geheimdiensten und Konzernen stemmen können, wage ich nicht abschließend zu beurteilen. Die NSA knackt ja manche Verschlüsselungen "live" / "on-the-fly", da kann der Aufwand nicht so extrem sein. Wie auch immer. RC4 weißt Schwächen auf. Meiner bescheidenen Erfahrung nach, ist das erst der Anfang. Möglicherweise werden mehr Schwächen entdeckt und die Angriffe immer ausgefeilter.

Zurück zu den Passwörtern. Hier sind beide Parteien (User und Betreiber / DCCV) verantwortlich. Der Durchschnitts-User kann nicht beurteilen, ob eine Verbindung sicher ist und auch nicht, ob seine Passwörter chiffriert gespeichert werden. Außerdem kann der DCCV nicht davon ausgehen, dass jeder ein separates Passwort für den DCCV verwendet. Das läge sicher im Verantwortungsbereich der User, aber der Schaden für den DCCV wäre trotzdem da, sollte mal jemand die Passwörter stehlen und veröffentlichen.

Zum Schluß möchte ich noch feststellen, dass das Zertifikat geändert worden ist. Ich hoffe RC4 ist auf dem Server komplett deaktiviert worden. Im Zertifikat das mir ausgeliefert wurde steht davon jedenfalls nichts mehr. Dafür ein Hinweis, dass die Seite zumindest teilweise NICHT verschlüsselt wird. Ich kann auch keine Informationen über TLS und den aktuell eingesetzten Algorithmus entdecken. Die Informationen PKCS SHA1 beziehen sich glaube ich nur auf die Signatur des Zertifikats glaube ich. Möchte meine Hand dafür aber noch nicht ins Feuer legen. Müsste selber erstmal mein Wissen über TLS, Zertifikate & Co wieder auffrischen bzw. vervollständigen.

pro
ist öfter hier
Beiträge: 23
Registriert: Fr 22. Mär 2013, 11:39

Re: TLS Verschlüsselung vermutlich nicht mehr aktuell

Beitrag von pro »

Ich wollte euch nur auf dem Laufenden halten. Habe bemerkt, dass sich etwas am Zertifikat verändert hat.

Code: Alles auswählen

Connection Encrypted (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 1238 bit keys, TLS 1.2)
Sieht also nach RSA und Elliptischen Kurven + AES aus. Schlüssellänge: 128bit

Kann jetzt nicht so schnell beurteilen, ob das was taugt, aber vermutlich ist das schon ganz gut. Vor allem: kein RC4 mehr. Zumindest ist bei mir (Firefox 40.0, Linux) davon nichts mehr im Zertifikat zu sehen.

http://www.heise.de/security/meldung/IE ... 39221.html

Muckbithat1990
beginnt sich einzuleben
Beiträge: 19
Registriert: Mi 29. Nov 2017, 22:03

Re: TLS Verschlüsselung vermutlich nicht mehr aktuell

Beitrag von Muckbithat1990 »

ja das hab ich auch schon bezweifelt

Antworten