Re: SSL: unsichere Connections kappen.

Autor: Alexander Holler <holler_at_ahsoftware.de>
Datum: Thu, 24 Mar 2011 19:27:37 +0100
Hallo,

Am 23.03.2011 22:40, schrieb Raphael Eiselstein:

> angesichts der aktuellen SSL-Security-Diskussion (zB
> http://heise.de/-1212986) stellt sich mir die Frage, ob man "nicht
> vertrauenswürdige" SSL-Connections nicht auf tcp-ebene erkennen und dort
> direkt kappen kann?

Das Problem ist, "nicht vertrauenswürdig" zu definieren und läuft darauf 
hinaus, das du eine DB verwalten müsstest, die den Unterschied zwischen 
und "vertrauenswürdig" und "nicht vertrauenswürdig" kennt.

Aussichtslos, insbesondere wenn du dann noch selbstsignierte Zertifikate 
irgendwie handhaben willst. Diese sind zwar nicht vertrauenswürdig, aber 
geeignet um einen Datenstrom zu verschlüsseln.

Auf Netzwerkebene kannst du auch nicht erkennen, ob der Client und der 
Sever evtl. ein Zertifikat benutzen, dessen CA-Zertifikat diese beiden 
kennen, dein, wie auch immer gearteter, Sniffer aber nicht.

Sprich, die Idee ist eine Totgeburt. ;)

Gruß,

Alexander


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 24.03.2011

Dieses Archiv wurde generiert von hypermail 2.2.0 : 24.03.2011 CET