Das ist völlig unverantwortlich. Dann reicht ein Einbruch in einen Webserver aus, um (kostenlos, und deshalb in großem Stil) sämtliche Systeme der gleichen Domain per Wildcard-Zertifikat zu kompromittieren.
Nein - wenn ein Webserver gehackt wird, können solche Wildcard-Zertifikate auch von einem Angreifer missbraucht werden.
Zum Beispiel kann der kompromittierte Webserver die IP-Adresse eines anderen Systems im gleichen DMZ-Subnetz übernehmen, beispielsweise eines Mailservers, und seine MITM-Position dank des Wildcard-Zertifikats trotzdem korrekt per SSL "authentifizieren". (Das andere System per Denial-of-Service, vorher lahmzulegen, ist keine unüberwindliche Hürde.)
Wir reden an einander vorbei. Kein Admin wird auf einem produktiv genutzen Server Wildcard Zertifikate erstellen. Diese Möglichkeit hilft eher Privatleuten. Hoffe ich zumindest.
Und wie will der "Admin" verhindern, dass über einen gehackten Webserver Wildcard-Zertifikate erstellt werden können, die dann den Einbruch in weitere (DMZ-)Server ermöglichen? Schließlich kann nicht nur der "legitime" Admin solche Zertifikate von "Let's Encrypt" ausstellen lassen, sobald er "root"-Zugriff hat...
Ich bleibe dabei: allein die Möglichkeit kostenloser Wildcard-Zertifikate macht völlig neue Szenarien von HTTPS-Kompromittierungen für ganze Domains erst möglich.
Okay, ich nehme alles zurück - so wie es aussieht, wird bei Wildcard-Zertifikaten der DNS-Eintrag zur Bestätigung des Domainbesitzes nicht mehr optional sein. Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen.
Ja Trottel kein admin wird im Kontext des public Webservers auch nur irgendwelche Zertifikate erzeugen und für den Homedeppen stellt sich das Problem sowieso nicht - Wo ist nun genau nochmal das Problem?
Je nach Architektur kann sich der pöse Cracker auf dem Webserver aber ggf. auch für jede zu missbrauchende Domain ein einzelnes Zertifikat ausstellen lassen – wahrscheinlich ist es eine gute Idee, sich seine Server nicht übernehmen zu lassen
Das ist völlig unverantwortlich. Dann reicht ein Einbruch in einen Webserver aus, um (kostenlos, und deshalb in großem Stil) sämtliche Systeme der gleichen Domain per Wildcard-Zertifikat zu kompromittieren.
Liegt doch am Admin ob er das nutzt oder nicht?
Nein - wenn ein Webserver gehackt wird, können solche Wildcard-Zertifikate auch von einem Angreifer missbraucht werden.
Zum Beispiel kann der kompromittierte Webserver die IP-Adresse eines anderen Systems im gleichen DMZ-Subnetz übernehmen, beispielsweise eines Mailservers, und seine MITM-Position dank des Wildcard-Zertifikats trotzdem korrekt per SSL "authentifizieren". (Das andere System per Denial-of-Service, vorher lahmzulegen, ist keine unüberwindliche Hürde.)
Wir reden an einander vorbei. Kein Admin wird auf einem produktiv genutzen Server Wildcard Zertifikate erstellen. Diese Möglichkeit hilft eher Privatleuten. Hoffe ich zumindest.
Kein Admin niemals nicht!
:huh:
Und wie will der "Admin" verhindern, dass über einen gehackten Webserver Wildcard-Zertifikate erstellt werden können, die dann den Einbruch in weitere (DMZ-)Server ermöglichen? Schließlich kann nicht nur der "legitime" Admin solche Zertifikate von "Let's Encrypt" ausstellen lassen, sobald er "root"-Zugriff hat...
Ich bleibe dabei: allein die Möglichkeit kostenloser Wildcard-Zertifikate macht völlig neue Szenarien von HTTPS-Kompromittierungen für ganze Domains erst möglich.
Okay, ich nehme alles zurück - so wie es aussieht, wird bei Wildcard-Zertifikaten der DNS-Eintrag zur Bestätigung des Domainbesitzes nicht mehr optional sein. Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen.
" Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen."
Ich nehm an, dass ändert sich vielleicht noch?
Ja Trottel kein admin wird im Kontext des public Webservers auch nur irgendwelche Zertifikate erzeugen und für den Homedeppen stellt sich das Problem sowieso nicht - Wo ist nun genau nochmal das Problem?
Je nach Architektur kann sich der pöse Cracker auf dem Webserver aber ggf. auch für jede zu missbrauchende Domain ein einzelnes Zertifikat ausstellen lassen – wahrscheinlich ist es eine gute Idee, sich seine Server nicht übernehmen zu lassen