Hadmut Danisch

Ansichten eines Informatikers

HTTPS zwischen Zensur und Zertifikatsproblem

Hadmut
21.9.2019 20:04

Anmerkungen.

Viele Leute haben mir zu dem Artikel von vorhin über die Zugriffsprobleme auf diese Webseite geschrieben.

Ich habe es vielleicht mit dem „danach stinkt” etwas blöd und missverständlich ausgedrückt, ich meinte da nicht, dass diese Webseite zensiert wird, sondern dass auf technische Weise von der CA (die „Zertifkatsbehörde” – in der Regel eine normale privatrechtliche Firma, die die Zertifikate ausgibt und auf der Liste von ungefähr 200 Zertifikatsbehörden steht, die in den Browsern eingebaut sind und ohne weiteres akzeptiert werden) aus durch Zertifikatsrückruf der Zugriff gesperrt werden kann.

Einige Leser haben das in diesem Falle näher untersucht und festgestellt, dass Firefox und Chrome die Zertifikate unterschiedlich auf Gültigkeit prüfen. Es gibt nämlich zwei unterschiedliche Methoden:

  • Die Online-Prüfung per OCSP, bei dem man direkt bei der CA (Zertifikatsbehörde) anfragt, ob das Zertifikat denn noch stimmt, und dann sagt die ja oder nein.

    Das verwendet Firefox und da sagt die CA (ich hab’s jetzt nicht geprüft, sagen die Leser): Nee, das Zertifikat ist nicht mehr gut, das haben wir zurückgezogen.

  • Die Sperrliste, die dann und wann von der CA veröffentlicht wird und die Liste der gesperrten Zertifikate enthält. Das verwendet (laut Leser, nicht geprüft) Chromium. Und da steht es nicht als gesperrt drin.

    Was zwei Gründe haben kann. Der eine ist, dass es erst vor kurzer Zeit gesperrt wurde und noch nicht in der Liste steht. Und der andere ist, dass manche CAs nur die wichtigen Fälle da reinschreiben, damit die Liste nicht zu lange wird.

An sich ist das richtig, dass CAs darüber informieren können und es auch tun, welche Zertifikate rückgerufen/gesperrt wurden.

Es darf aber meines Erachtens nicht dazu führen, dass man gar nicht mehr auf die Webseite kommt, und damit schlechter gestellt ist, als wenn die Webseite ein von vornherein ungültiges oder schlicht falsches Zertifikat verwenden, denn dann bietet Firefox den „Verstanden, ich will aber trotzdem”-Button an. Es gibt viele Gründe, auch auf eine nicht vertrauenswürdige oder möglicherweise gefälschte Seite noch zuzugreifen.

Letztlich kann man die Firefox-Sperre umgehen, indem man tief in der Konfiguration die OCSP-Prüfung abschaltet, was sie dann aber generell abschaltet. Und was man erst mal wissen muss.

Einer schrieb, das läge an der Strict-Transport-Security-Option, wenn die gesetzt wäre, weigere sich Firefox ohne Wahlmöglichkeit, noch auf die Seite zuzugreifen.

Außerdem ist das mit OCSP so eine Sache, das ist hinterher nicht ohne weiteres nachweisbar, wenn die CA unberechtigt Sperrantworten gibt. Eine Sperrliste ist signiert, die kann man speichern und das später beweisen.

Kritisch ist vor allem, dass die CA über OCSP ja unter Umständen den Browserverlauf sehen kann, weil die Zertifikate ja vorher auch schon abgefragt werden, und die Zertifikate von derselben CA stammten, also auch dort ankommen. Man könnte beispielsweise eine Webseite für Benutzer mit deutschen IP-Adressen sperren. Oder immer dann, wenn von derselben IP-Adresse vorher eine Webseite einer Partei oder sowas abgerufen wurde.

Ich halte es aber generell einfach für brandgefährlich, wenn – etwa über Let’s Encrypt, was hier in beschriebenen Fall allerdings nicht der Fall war, das hat mich nur zu dem Gedanken angeregt – eine CA Zertifikate für viele alternative Webseiten die Zertifikate stellt, ihren Sitz aber in San Francisco hat, das längst linksaußen besetzt ist, und damit mental ähnlich gelagert ist wie Facebook oder Twitter. Und dann per Fingerschnipp den Zugriff auf eine Webseite blockieren kann.

Ich halte das vor dem Hintergrund, dass aus den USA immer stärker gesteuert wird, was man hier noch lesen kann, für hochgefährlich.