"Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung"



http://www.heise.de/newsticker/meldung/Windows-Dynamische-Zertifikat-Updates-gefaehrden-SSL-Verschluesselung-1925115.html

Diese Meldung ist in etwa so sinnvoll wie "Internet gefährdet Computer"...

Wie bei jedem andern OS auch, werden die SSL CA Certs auch vom Hersteller dieses Betriebsystems mitgeliefert und updated...das macht mein Debian sowie Ubuntu Notebook, das iPad und halt auch mein Windows PC. (und ja, alle diese genannten machen das automatisch)

Natürlich birgt so ein AutoUpdate ein Sicherheitsrisiko, aber das tut jeglicher automatische Updatemechanismus.
Nur leider ist der Menscht/PCAnwender zu dumm und uninformiert, um sich selber um allfällig notwendige Updates zu kümmern - geschweibe denn abschätzen zu können, ob dieser oder jener CA vetraut werden soll.

Also entweder lässt man solche AutoUpdates zu und hat immer einen möglichst aktuellen Rechner mit allen Securitypatches appliziert, oder man macht gar nix mehr und überlässt es komplett dem Anwender, sich selber im Internet schlau zu machen was es für Updates gibt, ob er diese braucht und wie man diese installiert.

Letzteres führt dann halt dazu, dass 95% aller Rechner im Netz offen wie ein Scheunentor sind und alsbald zu einem neuen Superbotnetz gehören. In der Folge davon kann dann getrost vom Internet Abschied genommen werden, da es zusammenbrechen würde ob all dem Crap welchen diese Bots ins Netz senden.

Debian/Ubuntu macht es aber nicht im Hintergrund, sondern über die normale Updatefunktion.
Microsoft hat diese Möglichkeit auch, wobei auch über die normale Windows Update Funktion die Zertifikate nicht so bezeichnet werden (ist dann in einem Update als Beiwerk).

Zusätzlich dazu gibts eben noch die weitere Instanz (ausgelöst über die Krypto-API), die total intransparent ist und die es eben normal nicht geben sollte. Das wird bemängelt.
Man weiß bei Microsoft eben, es gibt Hintertürchen und das war mit Sicherheit nicht die letzte.

Debian/Ubuntu macht es aber nicht im Hintergrund, sondern über die normale Updatefunktion.
Microsoft hat diese Möglichkeit auch, wobei auch über die normale Windows Update Funktion die Zertifikate nicht so bezeichnet werden (ist dann in einem Update als Beiwerk).

Zusätzlich dazu gibts eben noch die weitere Instanz (ausgelöst über die Krypto-API), die total intransparent ist und die es eben normal nicht geben sollte. Das wird bemängelt.
Man weiß bei Microsoft eben, es gibt Hintertürchen und das war mit Sicherheit nicht die letzte.

Updates werden bei einem neuen Windows oft zeitverzögert oder gar nicht eingespielt. Das ganze ist also nichts als eine Vereinfachung für den Anwender, der sonst bei seinem frisch installierten Windows evtl. ganz schnell auf dem Schlauch steht.

Wieso es da leichter sein sollte, ungewollte CAs einzuspielen, als über "normale" Updatemechanismen, erschließt sich mir absolut nicht.

Der einzig angebrachte Vorwurf ist, dass man hier noch etwas mehr Transparenz bringen können. Andererseits, ein weiterer Dialog mit "wollen Sie Zertifikate automatisch sofort aktualisieren?" mit dem kaum ein User etwas anfangen kann? Ich weiß nicht...

Wieso es da leichter sein sollte, ungewollte CAs einzuspielen, als über "normale" Updatemechanismen, erschließt sich mir absolut nicht.

Afaik hat Windows/Internet Explorer eine Funktion welche automatisch die aktuellsten CA .cab Datei vom M$ Server holt, wenn es auf ein Zertifikat trifft für welches kein Thrust gefunden wurde.
Erst wenn dann immer noch kein Thrust besteht, kommt die Warnmeldung im Browser. (darum dauert es beim I.E. wohl auch immer so lange, bis er die Meldung bringt wenn man auf eine entsprechende Seite geht)

Ich sehe das ganze nun trotzdem weniger kritisch - ob das nun mit einem Windows Update eingespielt wird oder quasi zur Laufzeit, ändert für die allermeisten Leute gar nix.

Der normale Nutzer (kein Admin!) kann Zertifikate nachladen. Ich würde wetten, Windows Update bräuchte in dem Fall Admin-Rechte.
CA-Zertifikate ohne Admin-Rechte ins System zu bringen ist zwar einfach, schön aber nicht.

@Grestorn: Keine Updates einspielen ist immer scheiße, einen Workaround zu schaffen, damit der Nutzer ungestört und unsicher im Netz unterwegs ist einfach fahrlässig. Updates, gerade bei einem Betriebssystem sind Pflicht. Wenn ein Nutzer das nicht kapiert, hat er ganz andere Probleme.
Zudem, wie oft kommen neue CA an den Start oder die alten müssen erneuert werden? Eher doch selten.

@seiLaut: Bis alle Updates im System sind, vergehen mehrere Stunden. In denen das Internet nur u.U. sehr eingeschränkt funktioniert (wobei ich mit einem nicht vollständig gepatchten System ohnehin nicht surfen würde...).

Zertifikate gehören zum UserSpace und lassen sich jederzeit ohne Adminrechte installieren. Ein weiterer Grund übrigens - vermutlich der entscheidende - der gegen eine Verteilung durch WUS spricht.

Sollten CA-Zertifikate zum Userspace gehören? Ich meine, klar sollte ein Nutzer benutzerdefinierte Zertifikate einspielen können, aber ein CA Zertifikat ist ja eigentlich für das System gültig. Würde ich zumindest annehmen. Selbst wenn es eine selbsterstellte CA eines Unternehmens ist. Oder CAcert.

Und niemand sagt was dagegen, die Zertifikate als Sonderupdate auszuliefern. Als erstes. Haben ja eh keine Abhängigkeit und groß sind die auch nicht.

Sollten CA-Zertifikate zum Userspace gehören? Ich meine, klar sollte ein Nutzer benutzerdefinierte Zertifikate einspielen können, aber ein CA Zertifikat ist ja eigentlich für das System gültig. Würde ich zumindest annehmen. Selbst wenn es eine selbsterstellte CA eines Unternehmens ist. Oder CAcert.
Ein normaler User sollte Certs (nur) im Userspace updaten können, ja.
Macht auch Sinn dass man wie unter Windows einen zweistufigen Keystore hat - einen "User" und einen "local System" und beide werden gekoppelt.

Naja, ich weiß nicht... es sollte schon möglich sein, kompromittierte Zertifikate auch ohne Zutun eines Admins zu revoken.

Dass das unsicher ist wenn der Rechner angegriffen wurde, ist klar. Aber ein durch Malware bereits kompromittierter Rechner ist eh hinten und vorne offen wie ein Scheunentor, da braucht man auch keine manipulierten Root-CAs mehr dafür...