---

Hej alle

Jeg kom til at kikke på mine certifikater. Der er en hel del, og
de er kommet (eller har været der altid) uden mit vidende.

Hvordan kan jeg se om jeg kan have tillid til dem eller ej?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Sun, 21 May 2006 22:44:38 +0200, Bertel Lund Hansen
<nospamfilius@lundhansen.dk> wrote:

>Jeg kom til at kikke på mine certifikater. Der er en hel del, og
>de er kommet (eller har været der altid) uden mit vidende.
>
>Hvordan kan jeg se om jeg kan have tillid til dem eller ej?

Lige for at være sikker på hvad, vi taler om: I hvilket program eller
system-ressource er du gået ind for at kigge på certifikater, og har
du et par eksempler på nogle af dem?

Såfremt, vi taler om browser-certifikater: Forskellige browsere fødes
med en række standard-rod-certifikater, som browser-udviklerne har
betragtet som Troværdige Nok til at kunne udstede certifikater.

Når man besøger en side via SSL og bliver præsenteret for et
certifikat, er der en række detaljer, der skal være i orden, for at
browseren ikke vil brokke sig:

1. Certifikatet skal være udstedt/signeret af nogen, "man" har valgt
at stole på, dvs. blandt de rod-certifikater, man har liggende (eller
nogen, der har lov til at udstede certifikater, der så igen er
godkendt af nogen, i en kæde tilbage til de rod-certifikater, man har
liggende)

2. Certifikatet skal stadigvæk være gyldigt

3. Hostnavnet for den adresse, man går ind på, skal modsvare
hostnavnet i certifikatet.


På den ene side burde "alle" tage stilling til hvilke
rod-certifikater, de vil have liggende. Det handler i grove træk om
dem, som har en fornuftig certifikat-opbevarings-politik, en fornuftig
sikkerhedspolitik og generelt er troværdige. Det kan der selvfølgelig
være mange meninger om, og folk kan have forskellige holdninger ud fra
forskellige oplevelser. Er Verisign utroværdige, fordi en anden
afdeling af deres firma lavede wildcard-stunts for .com-domæner? Er de
utroværdige, fordi de fejlagtigt udstedte to Microsoft-certifikater
til nogle fupmagere for nogle år siden? Er TDC utroværdige, fordi en
TDC-kundeservice-medarbejder for nogle år siden lovede at ringe
tilbage, men ikke gjorde det?

På den anden side er det netop svært at tage stilling og personligt
lave en dybdegående analyse af de forskellige firmaer. Det vil også
give ret tilfældige oplevelser på nettet. Derfor medfølger der ofte
mange af de samme certifikat-udsteders rod-certifikater i forskellige
browsere. I praksis har de en interesse i at deres certifikater
accepteres af så mange browsere som muligt, og prøver derfor at
tilfredsstille de forskellige browser-udvikleres evt. krav til at få
deres rod-certifikat med som godkendt udbyder.

Med mindre, du har specifikke grunde til at fjerne nogle fra listen,
så er der ikke den store grund til at pille ved listen.

--
- Peter Brodersen
Ugens værktøj - Find vej: www.findvej.dk

---

Peter Brodersen skrev:

> Lige for at være sikker på hvad, vi taler om: I hvilket program eller
> system-ressource er du gået ind for at kigge på certifikater, og har
> du et par eksempler på nogle af dem?

Det er ganske rigtigt browaercertifikater, men når du skriver
sådan her:

> Med mindre, du har specifikke grunde til at fjerne nogle fra listen,
> så er der ikke den store grund til at pille ved listen.

er der vist ingen grund til at gå nærmere ind på det. Jeg havde
godt en forestilling om principperne i et certifikat, men da jeg
så hvor mange der lå (72), blev jeg lidt nervøs.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen <nospamfilius@lundhansen.dk> wrote:

>> Lige for at være sikker på hvad, vi taler om: I hvilket program eller
>> system-ressource er du gået ind for at kigge på certifikater, og har
>> du et par eksempler på nogle af dem?
>
>Det er ganske rigtigt browaercertifikater, men når du skriver
>sådan her:
>
>> Med mindre, du har specifikke grunde til at fjerne nogle fra listen,
>> så er der ikke den store grund til at pille ved listen.
>
>er der vist ingen grund til at gå nærmere ind på det. Jeg havde
>godt en forestilling om principperne i et certifikat, men da jeg
>så hvor mange der lå (72), blev jeg lidt nervøs.

Der er jo mange af dem der tilhører det samme firma. Det er de store
globale CA'er der er listet. Det betyder at TDC (som jo er miniput i
den sammenhæng) kan publicere certifikater, hvor brugerne ikke
promptes, fordi de har en certifikat-kæde med intermediates der er
betroet af en af de store. For TDC's vedkommende GlobalSign.

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Mon, 22 May 2006 17:08:14 +0200, Lars Kim Lund <lkl@fabel.dk>
wrote:

> Det betyder at TDC (som jo er miniput i
> den sammenhæng) kan publicere certifikater, hvor brugerne ikke
> promptes, fordi de har en certifikat-kæde med intermediates der er
> betroet af en af de store. For TDC's vedkommende GlobalSign.

Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>> Det betyder at TDC (som jo er miniput i
>> den sammenhæng) kan publicere certifikater, hvor brugerne ikke
>> promptes, fordi de har en certifikat-kæde med intermediates der er
>> betroet af en af de store. For TDC's vedkommende GlobalSign.
>
>Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.

Mon ikke du har fået certifikatet installeret sammen med din digitale
signatur. Jeg mener at root CA'en bliver installeret automagisk med
CSP'en.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:
> Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
>>> Det betyder at TDC (som jo er miniput i
>>> den sammenhæng) kan publicere certifikater, hvor brugerne ikke
>>> promptes, fordi de har en certifikat-kæde med intermediates der er
>>> betroet af en af de store. For TDC's vedkommende GlobalSign.
>> Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.
>
> Mon ikke du har fået certifikatet installeret sammen med din digitale
> signatur. Jeg mener at root CA'en bliver installeret automagisk med
> CSP'en.
>

FYI:
----
http://erhverv.tdc.dk/artikel.php?id=66055&dogtag=tdc_e_digi_pa_pi_ny_ark

Vh

Peter Lind Damkjær
(der i denne sammenhæng skriver som privatperson)

---

On Mon, 22 May 2006 18:28:43 +0200, Lars Kim Lund <lkl@fabel.dk>
wrote:

>> Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.

> Mon ikke du har fået certifikatet installeret sammen med din digitale
> signatur.

Nej.

For det første ved jeg, de er kommet med i en default install.

For det andet har jeg ikke en digital signatur. (Dvs. jeg fik en, men
jeg ville ikke installere det tilhørende software, og har ikke senere
haft noget at bruge den til, der fik mig til at ændre mening).

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>>> Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.
>
>> Mon ikke du har fået certifikatet installeret sammen med din digitale
>> signatur.
>
>Nej.
>For det første ved jeg, de er kommet med i en default install.

Godt så - jeg kan se at den åbenbart er kommet med i IE's default. Det
var den ikke sidste gang jeg beskæftigede mig med det - og sidenhen
har vi styret det med group policies og ikke skænket det en tanke.

Så min information var ikke ret opdateret. Beklager.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <lkl@fabel.dk> wrote:

>Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
>>>> Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.
>>
>>> Mon ikke du har fået certifikatet installeret sammen med din digitale
>>> signatur.
>>
>>Nej.
>>For det første ved jeg, de er kommet med i en default install.
>
>Godt så - jeg kan se at den åbenbart er kommet med i IE's default. Det
>var den ikke sidste gang jeg beskæftigede mig med det - og sidenhen
>har vi styret det med group policies og ikke skænket det en tanke.
>
>Så min information var ikke ret opdateret. Beklager.

Og i øvrigt var det også SSL certifikaterne jeg mest tænkte på da jeg
svarede Bertel - og ikke så meget OCES. Aner ikke om de også er kommet
på default-listen. Men jeg havde i hvert fald for nyligt lidt bøvl med
et af dem, fordi webserveren ikke sendte kæden af intermediates.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Mon, 22 May 2006 18:28:43 +0200 skrev Lars Kim Lund:
> Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
>>> Det betyder at TDC (som jo er miniput i
>>> den sammenhæng) kan publicere certifikater, hvor brugerne ikke
>>> promptes, fordi de har en certifikat-kæde med intermediates der er
>>> betroet af en af de store. For TDC's vedkommende GlobalSign.
>>
>>Hvad mener du? TDC OCES CA er da trusted root CA i både IE og FF.
>
> Mon ikke du har fået certifikatet installeret sammen med din digitale
> signatur. Jeg mener at root CA'en bliver installeret automagisk med
> CSP'en.

Firefox 1.5.0.2 på Linux, intet digital signatur-skrammel installeret.

TDC OCES CA Builtin Object Token
TDC Internet Root CA Builtin Object Token

Besvarer det spørgsmålet?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Den Mon, 22 May 2006 05:49:23 +0200 skrev Peter Brodersen:
> On Sun, 21 May 2006 22:44:38 +0200, Bertel Lund Hansen
> <nospamfilius@lundhansen.dk> wrote:
>
> Er Verisign utroværdige, fordi en anden
> afdeling af deres firma lavede wildcard-stunts for .com-domæner?

Hmm, "har allerede bevist at de er villige til at sabotere internettet
hvis det kan give dem et par håndører i kassen"... Troværdighed:
Højere end GWB, men lavere end HA og Bandidos tilsammen.

> Med mindre, du har specifikke grunde til at fjerne nogle fra listen,
> så er der ikke den store grund til at pille ved listen.

Er det ikke en direkte modsigelse af det med at overveje om de
er troværdige?

Sålænge browsere kommer med alverdens skrammel som default-certifikater,
er sikkerheden i SSL ikke en sk*d bedre end med self-signed
certifikater. Krypteringen gør at tredjepart ikke kan lytte med,
men "authentication"-delen kan man stikke op hvor solen ikke
skinner.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>Sålænge browsere kommer med alverdens skrammel som default-certifikater,
>er sikkerheden i SSL ikke en sk*d bedre end med self-signed
>certifikater. Krypteringen gør at tredjepart ikke kan lytte med,
>men "authentication"-delen kan man stikke op hvor solen ikke
>skinner.

Dermed siger du at nogle af de CA'er der er installeret default ikke
er troværdige. Er det blot almindelig paranoia eller har du noget
konkret at basere det på?

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Mon, 22 May 2006 17:09:38 +0200 skrev Lars Kim Lund:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>Sålænge browsere kommer med alverdens skrammel som default-certifikater,
>>er sikkerheden i SSL ikke en sk*d bedre end med self-signed
>>certifikater. Krypteringen gør at tredjepart ikke kan lytte med,
>>men "authentication"-delen kan man stikke op hvor solen ikke
>>skinner.
>
> Dermed siger du at nogle af de CA'er der er installeret default ikke
> er troværdige. Er det blot almindelig paranoia eller har du noget
> konkret at basere det på?

Hvis du nu læste hvad jeg skriver inden du klippede væk, ville du ikke
have behov for at spørge om det.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

In article <40l37217mccbeoa70qmatpevp3erf1knem@dtext.news.tele.dk>, Lars Kim Lund wrote:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>Sålænge browsere kommer med alverdens skrammel som default-certifikater,
>>er sikkerheden i SSL ikke en sk*d bedre end med self-signed
>>certifikater. Krypteringen gør at tredjepart ikke kan lytte med,
>>men "authentication"-delen kan man stikke op hvor solen ikke
>>skinner.
>
> Dermed siger du at nogle af de CA'er der er installeret default ikke
> er troværdige. Er det blot almindelig paranoia eller har du noget
> konkret at basere det på?

Der er certifikater fra udbydere (Geotrust) der sælger 2 slags
certifikater, en hvor de validerer køber, og en hvor de bare
udsteder til en e-mail adresse på domænet. Det giver ingen sikkerhed.

--
Povl H. Pedersen - nospam @ my.terminal.dk (Ja - adressen virker)

---

Kent Friis <nospam@nospam.invalid> writes:

>Sålænge browsere kommer med alverdens skrammel som default-certifikater,
>er sikkerheden i SSL ikke en sk*d bedre end med self-signed
>certifikater. Krypteringen gør at tredjepart ikke kan lytte med,
>men "authentication"-delen kan man stikke op hvor solen ikke
>skinner.

Helt nøgternt er begge dele sådan set ligegyldigt for de fleste
internetbrugere; deres behov for kryptering begrænser sig vist
til 2-3 ting:

- Online-handel: brugeren kan være helt ligeglad. Det er kun
forretningen, der af hensyn til kortudbyderne skal kryptere.
Brugeren får sine penge igen, hvis hans kort misbruges.

- Offentlige myndigheder: her er det TDC, som agerer på vegne
af den danske stat, man skal stole på. Det er jo fjong nok,
når tjenesteudbyderen (det offentlige) står bag certifikat
og CSP. Krypteringen er nok ret ligegyldig; data er ikke så
følsomme igen, og brugerens pc, hvor data er ukrypteret, er
meget lettere at kompromittere end forbindelsen mellem bruger
og myndighed.

- Privat e-mail: her er det som regel primært brugerens egen
opfattelse af "privat", der spiller ind. Hvem tanten lige
nu er kærester med, og hvad morfars kontonummer er, er ikke
ligefrem oplysninger, der kræver bly i væggene og bodyguards
med licens til at skyde først. Faktisk er der næppe nogen,
der gider prøve at stjæle de mails. Og hvis de endelig gider:
se ovenfor.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> Helt nøgternt er begge dele sådan set ligegyldigt for de fleste
> internetbrugere; deres behov for kryptering begrænser sig vist
> til 2-3 ting:

Handler det her kun om kryptering?

Handler det ikke også om, hvor meget browseren og operativsystemet
stoler på (eller anbefaler brugeren at stole på) diverse Java og
ActiveX, som man får kastet i hovedet fra fremmede websteder?

--
Allan Olesen

---

On Mon, 2006-05-22 at 17:09 +0200, Lars Kim Lund wrote:
> Dermed siger du at nogle af de CA'er der er installeret default ikke
> er troværdige. Er det blot almindelig paranoia eller har du noget
> konkret at basere det på?

Det er altid godt at læse http://www.schneier.com/paper-pki-ft.txt

Bagefter kan du kikke på
http://www.schneier.com/blog/archives/2006/02/impressive_phis.html der
et ganske konkret.


Personligt, har jeg set flere eksempler at jeg som konsulent kan få
kunders certifikat underskrevet og sendt til mit domain, iløbet af 1-2
minutter.

Er der blot én CA, eller dennes underleverandør, sløser med sikkerheden,
er alt tabt.

Kunderne tror så at de er sikret ved at købe de dyreste certifikater!?