Wann kommt https?

[Jörg]

Hi Alexander.

Danke Dir für die wahrlich ausführliche Antwort.

Zum einem: Der "Bildungsauftrag" ist bei mir erfüllt, ich hab das Class 3 PKI Key Zertifikat nun im Browser drin 

Ich hab die umfangreichen und guten Erläuterungen unter http://www.linuxtag.org/2013/de/about/zertifikate-des-linuxtag.html gelesen, soweit auch verstanden und fordere alle Teammitglieder auf, das ebenfalls zu lesen und sich das Zertifikat persönlich zu laden.



Zum anderen und auf oc.de bezogen:
Ich glaube, dass die allermeisten User - nicht nur von OC - eher ein wenig "ängstlich" und auch zu bequem sind und bei solchen doch sehr technischen Dingen abgeschreckt werden.

Sie sind - meine These - nicht so schnell dazu zu bringen, sich die aus Sicht eines "Normalusers" ziemlich spezielle Zertifikat-Thematik reinzuziehen und dann laden sie sich gleich mal nen CAcert-Root-Zertifikat in den Browser.

Klingt vielleicht brutal, aber das ist derzeit wirklich Wunschdenken.

Solange das CAcert-Root-Zertifikat nicht standardgemäß im Lieblingsbrowser schon drin ist, wie die anderen Root-Zertifikate (jaja, Digitask  ) wird sich nix groß ändern mit der Nutzung von sicheren OC-Webaufrufen mit beruhigendem grünen Adressbalken.

Was können wir also hier im OC-Team tun, damit mehr OC-User sich für nen SSL-Login entscheiden und sich das CAcert-Root-Zertifikat im Browser installieren? Wir können da zwar informieren, sensibilisieren, aber missionieren wird nix bringen.

Es käme also auf kurze, klar formulierte Botschaften an, die den Mehrwert transportieren. Zu technisch, wie auf der Linux-Tag-Seite, solltes es nicht sein, das ist ne technisch affinere Zielgruppe, die das (noch) liest.

Wie können wir das konzipieren?

Alternativ wäre ja noch das kostspielige, bezahlte (gesponsorte?) Zertifikat, welches dann zur beruhigenden grünen Adresszeile bei opencaching.de führt. Führt halt schneller zum "Wohlfühl-Sicherheitsgefühl" beim OC-User.

Habt ihr Vorschläge?

Oder liege ich mit meiner Sichtweise aus Eurer Sicht daneben?

Feuer frei für Anmerkungen.

LG
Jörg

[pirate77]

Mir - als völlig ahnungsloser in diesem Fall - gefällt

Denn das freie Projekt benutzt die gleichen technischen Verschlüsselungssstandards wie kommerziell operierende Zertifizierungsstellen, aber seine Dienste sind kostenlos.

Das kostenlose finde ich ja auch - neben vielen anderen - an OC Klasse.
Ob das so wirklich stimmt - keine Ahnung. Aber ich finde es würde zu OC passen - sofern die Sicherheit stimmt - und ich würde mir das Zertifikat laden.
In einem Blogbeitrag und im Wiki könnte man das kurz erläutern mit dem Verweis auf bereits genannte Seite.

[Steingesicht]

[quote="teufli"]
- CAcert ist auf den meisten Rechnern, bzw. Browsern nicht von vorn herein installiert, was dann zu einer Warnung führt. Jedoch ist es deshalb nicht unsicherer, ganz im Gegenteil. Der Vorteil ist, dass der Anwender sich mit dem Thema Sicherheit beschäftigen kann und so z.B. das Root-Zertifikat von CAcert installieren kann, woraufhin es auf keiner CAcert-Zertifikat-gesicherten Seite mehr zu dieser Warnung kommt.
[/quote]
Ich sehe mich ja selber als halbwegs technisch interessierten Internetnutzer - aber ehrlich - wenn ich auf OC unterwegs bin, will ich Cachelistings lesen, nicht mich mit Zertifizierungen auseinandersetzen. Auch wenn ich das Anliegen, dass sich Internetnutzer stärker mit Sicherheitsthemen beschäftigen, nachvollziehen kann - wird es die Masse der potentiellen OC-Nutzer noch weniger als mich ansprechen.

[teufli]

Hallo Jörg/alle,

ich gebe Dir durchaus etwas Recht, dass ein Zertifikat zu installieren gewissermaßen etwas "technischer" Natur ist. Ich glaube aber eigentlich nicht zu technisch, vielmehr glaube ich, dass sich viele Leute nicht ausreichend mit dem Thema Sicherheit auseinandersetzen wollen und einen bequemen Weg gehen - wie sonst lässt es sich erklären, dass vielerorts die Anmeldemasken via http verwendet werden, obwohl ein SSL-Zugang sogar mit einem Zertifikat im Browser existiert. Vielmehr wird, meiner Ansicht nach, davon ausgegangen, dass es der Seitenbetreiber schon so richtet, dass es für ihn angemessen ist. Das es stattdessen vielmehr um die Nutzer und ihre persönlichen Daten geht, sehen viele möglicherweise noch nicht. Demzufolge haben sich in der Vergangenheit die Seitenbetreiber nicht ausreichend um gesicherte Verbindungen gekümmert, da es anscheinend nur wenige interessiert. Diese Stimmung scheint sich aber allmählich zu ändern.

Ich würde die komplette Seite, sofern möglich, SSL-verschlüsseln (und nicht wie bei der "kommerziellen Konkurrenz" nur halbherzig auf der Anmeldeseite und 1-2 Unterseiten Das hat den Vorteil, dass OC so wie bisher verfügbar ist und für die "interessierte Öffentlichkeit" genau so per https. So kann man vielleicht auch Steingesichts Argument begegnen und außerdem hält sich damit der Codingaufwand in Grenzen. Diejenigen, die die verschlüsselte Seite nutzen, kann man dann aus meiner Sicht auch davon überzeugen, das CAcert-Root-Zertifikat zu installieren. Zumal beide Projekte - OC und CAcert - als gemeinsame Basis den Community-Gedanken pflegen und von Userengagement leben.

Schließlich sollte man noch daran denken, bei Gelegenheit aus dem gleichen Grund auch das Wiki und, wenn möglich, das Forum mit SSL zu versehen. Das ist jeweils eine separate Domain, auch wenn das Wiki ebenfalls unter opencaching.de liegt. Wenn man das bei einem kommerziellen Unternehmen macht, kommt schon ein stattlicher Betrag zusammen.

Grüße, Alexander.

[following]

Gehe ich recht in der Annahme, dass vor Installation des CAcert-Root-Zertifikats diese oder eine ähnliche Meldung im Browser erscheint?

Für den unbedarften User sieht das aus, als hätte man es mit einer unseriösen Website zu tun - selbst auf mich wirkt es abschreckend. Wenn ich sowas sehe klicke ich instinktiv auf den Zurück-Knopf und lasse die Finger von der Website.

[teufli]

Hi,

wenn man das Zertifikat vorher nicht installiert hat, sieht das unter Umständen so aus, ja. Aber ich sehe das nicht als schlimm an: Die User sind es bisher gewohnt auf die unverschlüsselte Seite zuzugreifen. Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).

Grüße, Alexander.

[Jörg]

[quote="following"]...
Für den unbedarften User sieht das aus, als hätte man es mit einer unseriösen Website zu tun - selbst auf mich wirkt es abschreckend. Wenn ich sowas sehe klicke ich instinktiv auf den Zurück-Knopf und lasse die Finger von der Website.
[/quote]
So sieht es aus. Sobald so ne Meldung dieser Art kommt, klicken gemutmaßte 90-95 % der Besucher das weg, wenn sie die Seite noch nicht (gut genug) kennen.

[quote="teufli"]...
Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).
...[/quote]
Soweit so gut.

Das setzt voraus, das die Info an den (Neu)Nutzer kurz, dennoch verständlich und nicht groß den "Workflow" sowie "Spielspaß" bremst. Sonst macht da keiner mit.

Ich fang mal mit nem Vorschlag an:
Beim Anmelden über die unsichere Verbindung steht danach ziemlich weit oben auf der Seite:
"Erfolgreich eingeloggt über eine normale, jedoch ungeschütze Verbindung. Interesse an einer sicherer, verschlüsselter Verbindung? Bitte hier entlang <Link>"

Vor dem Einloggen:
Oben Links steht dann noch nen Anmeldebutton mit Schloßsymbol o.ä.

[flopp]

Die CAcert-Geschichte ist ja spannend!

Ich habe da auch gleich mal ein Account erstellt und bin jetzt auf der Suche nach lokalen Assurern.

[following]

[quote="teufli"]
Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).
[/quote]

Diese Erläuterung alleine ist nutzlos, solange der Benutzer sich nicht selbst davon überzeugt hat, dass er dem CAcert-Root-Zertifikat vertrauen kann - wozu er recht weit in die Materie einsteigen müsste. Allen, die das weder wollen/können noch irgendwelchen Erklärungen blind vertrauen, würden wir damit ausschließen.

Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?


Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn. Vielleicht könnte man parallel dazu CAcert im Forum testen, dem am zweithäufigsten genutzten OC.de-Dienst?

[mic@]

[quote="following"]Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.[/quote]

Genauer gesagt: Vier Leute und eine Firma Werbekostenpauschale ([url=http://mica.podspot.de/post/spenden-im-amazonas/]Amazon[/url]) 

[flopp]

[quote="mic@"]
[quote="following"]Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.[/quote]

Genauer gesagt: Vier Leute und eine Firma ([url=http://mica.podspot.de/post/spenden-im-amazonas/]Amazon[/url]) 
[/quote]

Damit hast du gerade wohl gegen Punkt 10 von Amazons Teilnahmebedingungen verstoßen https://partnernet.amazon.de/gp/associa ... tdeapr2013

Edit: besser so

[mic@]

[quote="flopp"]Damit hast du gerade wohl gegen Punkt 10 von Amazons Teilnahmebedingungen verstoßen[/quote]

Danke für den Hinweis, habe meine Posting aktualisiert 

[teufli]

Hi,

[quote="following"]
Diese Erläuterung alleine ist nutzlos, solange der Benutzer sich nicht selbst davon überzeugt hat, dass er dem CAcert-Root-Zertifikat vertrauen kann - wozu er recht weit in die Materie einsteigen müsste. Allen, die das weder wollen/können noch irgendwelchen Erklärungen blind vertrauen, würden wir damit ausschließen.
[/quote]

Ich glaube, opencaching.de (www, wiki, forum, email) kann den Benutzern sehr wohl vorschlagen, dass sie das Root-Zertifikat installieren können - damit geht ja nichts "kaputt". Man muss das Root-Zertifikat ja auch nicht installieren. Wie oben beschrieben, steigert dies jedoch die Sicherheit, wenn man nicht manuell die Signatur prüfen will und selbst abfragt, ob das Zertifikat zurückgezogen wurde. Aber auch beim Erstellen einer Ausnahmeregel für dieses eine Zertifikat ist die Sicherheit ganz erheblich höher, als bei der derzeitigen, ungesicherten Verbindung.

[quote="following"]
Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?
[/quote]

Es ist nicht ganz korrekt, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt. Der Auditor von Mozilla hat jedoch eine Reihe von Punkten moniert, die notwendig sind, um einen korrekten Prozessablauf zu dokumentieren, der aber auch vorher praktisch eingehalten wurde. Genausowenig ging es um Sicherheitsaspekte, die bei CAcert bereits vom Grundsatz her oberste Priorität haben. Aber auch hier ist die Anforderung gewesen korrekt zu dokumentieren. Entsprechende Änderungen einzubringen, die verschiedene Aspekte des Systems dokumentieren, sind ausgesprochen arbeitsaufwändig. Zum Zweiten kostet aber auch ein Audit viel Geld: Wollte Mozilla zunächst für eine Wiederholung 20 Tsd. Euro haben, ist der Preis nach den Vorkommnissen beim niederländischen Registrar DigiNotar und anderen auf 50 Tsd. Euro gestiegen. Die Frage ist auch, in welchen zeitlichen Abständen muss ein Audit wiederholt werden - die Summe ist kein Einmalangebot auf Lebenszeit. Hier muss also noch viel für gearbeitet werden.

[quote="following"]
Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.
[/quote]

... und Amazon, wie mic@ einen Artikel weiter geschrieben hat. Ähm, nein. Aus meiner Sicht gibst Du mit der Werbung Du den Gedanken eines freien, unabhängigen und pfiffigen, nichtkommerziellen Gegenspielers zu einer bekannten kommerziellen Caching-Webseite teilweise auf. Zum anderen setzt Du damit Bequemlichkeit eindeutig vor das Ziel Sicherheit. Ich kann zwar die "Bequemlichkeit" zu einem gewissen Grade durchaus nachvollziehen, aber was wollen die Benutzer? Die sicherheitsaffinen Benutzer wollen eine Seite mit https. Genau diese Benutzer sind es aber auch, die meiner Ansicht nach ein Community-Zertifikat von CAcert durchaus akzeptieren würden, denn es ist sowohl sicher, als auch kostenlos. Ich kann mir nicht vorstellen, dass eben diese Benutzer fordern - gleichwohl gutheißen können -, dass das Zertifikat im Browser enthalten sein muss. Deshalb finde ich, dass damit Geld für ein Zertifikat geopfert wird, das an anderer Stelle möglicherweise deutlich wertvoller eingesetzt werden könnte. Dabei sind sowohl OC, als auch CAcert, Community-unterstützte und -betriebene Projekte, die aus meiner Sicht durchaus am gleichen Strang ziehen können.

Viele Grüße, Alexander.

[teufli]

Ich möchte noch kurz erläutern, wie ich dazu komme, andere Zertifikate als potentiell unsicher zu beschreiben:

Problematisch ist, dass die großen Anbieter dieser Root-Zertifikate Hierarchien aufgebaut haben, für die von weiteren Firmen Zertifikate ausgestellt werden können - wie z.B. die zuvor angesprochene Firma SSL trust Zertifikate von Comodo ausstellt. Auf diese Weise wird nicht nur dem Herausgeber des jeweiligen Root-Zertifikats vertraut, sondern automatisch einer Vielzahl weiterer Unternehmen - egal, wie vertrauenswürdig diese tatsächlich arbeiten.

Da alle Firmen Zertifikate für beliebige Sites in jedermanns Namen erstellen können ist das Erstellen der Zertifikate durch verschiedene Unternehmen, die i.d.R. als "Blackbox" agieren und ihre Prozesse nicht offenlegen, ein Sicherheitsrisiko. Sicherheitslecks können deshalb lange unentdeckt bleiben, bei Bekanntwerden von Pannen werden ganze Zertifikatshierarchien aus dem Zertifikatsspeicher des Browsers durch ein Browserupdate entfernt, was in der Vergangenheit schon mehrfach vorgekommen ist. Unter anderem hierbei ist man als Besitzer eines gekauften Zertifikats "gekniffen", da die AGB verschiedener Aussteller vorsehen, dass man kein Anrecht auf ein im Browser installiertes Zertifikat besitzt.

CAcert hat deshalb ein System implementiert, das es ermöglicht, Identifikationsprüfungen von Personen oder Firmen, die Zertifikate beantragen weitgehend vor Ort zu ermöglichen. Dies wird bei CAcert von vielen Mitgliedern der CAcert-Gemeinschaft wahrgenommen. Die Zertifikatsausstellung dagegen erfolgt zentral in einer gesicherten Umgebung. Die Prozesse von CAcert sind öffentlich im Wiki einsehbar und sämtliche Sicherheitsvorfälle werden bekannt gemacht.

Auch ist mir unklar, warum es beispielsweise bei SSL trust eine Beschränkung der Schlüssellänge auf 2048 Bit gibt. Das gilt zwar derzeit noch als sicher, dürfte sich aber in naher Zukunft überlebt haben.

Mit den kostenlosen CAcert-Zertifikaten können neben Verbindungen zu einem Web-, E-Mail- und anderen Servern auch Dokumente und E-Mails signiert und damit vor dem versteckten Verändern geschützt werden. Diese so genannten Client-Zertifikate können sogar mit Namen versehen werden. Sie sind fortgeschrittene Zeritifikate im Sinne des Signaturgesetzes. Auch Codesigning-Zertifikate stehen kostenlos für jedermann zur Verfügung.

[following]

-> Missverständnisse und Klarstellungen zum Thema "Amazon" habe ich in diesen Thread verschoben: http://forum.opencaching-network.org/http://localhost//viewtopic.php?t=2