Noch ein kleiner Fundsplitter aus der Welt der Fremd-Internet-Sicherheitslösungen. Nutzer, die mit Google Chrome surfen, aber auf die Sophos-Firewall setzen, erhalten wohl Zertifikatswarnungen beim Zugriff auf https-Seiten.
Anzeige
Ich wurde über einen Tweet von Hans-Peter Holzer auf dieses Thema aufmerksam. Er weist darauf hin, dass im Chromium 58-Browser Zertifikate nicht mehr akzeptiert werden, wenn Sophos installiert ist.
Great! @googlechrome 58 now distrusting all #MITM #proxy CA. Cert pinning? Breaking corporate environments using @SophosSupport #UTM etc. pic.twitter.com/i6T4zAyaIs
— Hanspeter Holzer (@HanspeterHolzer) 20. April 2017
Besucht der Benutzer eine Webseite, wird ihm bei https-Inhalten die folgende Zertifikatswarnung ausgegeben.
Anzeige
Der Bug ist hier beschrieben (seit März 2017). Die Antwort des Sophos-Supports ist da recht einfach gestrickt: Man möge einen anderen Browser verwenden oder das HTTPS-Scanning in der Sophos-Firewall deaktivieren.
@HanspeterHolzer @googlechrome @etguenni @golem @heisec Hi At the moment the Work around is to disable HTTPS scanning or Use another Web Browser .^ ap
— Sophos Support (@SophosSupport) 20. April 2017
Bei Sophos gibt es dazu einen Beitrag, der das Problem erläutert. Die Geschichte zeigt wieder einmal, dass Dritthersteller eigentlich nichts in der HTTPS-Übertragung verloren haben, weil es immer wieder zu Kollateralschäden, Fehlern und Sicherheitslücken kommt. Ich erinnere nur an den heise-Artikel US-CERT warnt vor HTTPS-Inspektion von Mitte März 2017. Ergänzung: Die Redaktion von Golem, die im obigen Tweet mit adressiert wurde, hat diesen Artikel zum Thema veröffentlicht. Dort erfahrt ihr noch ein paar zusätzliche Informationen.
Anzeige
Ich finde das sowieso übertrieben mit dem HTTPS Standard, zumal da eh von gewissen stellen zig tausende Zertifikate vergeben worden sind ohne sie je richtig zu überprüfen, damit ist die Sicherheit eh unterlaufen worden.
Das verunsichert die User eh nur wenn der Browser eine Sicherheitswarnmeldung ausgibt, das man nicht jeden link in einem Forum oder Blog gleich anklickt ohne die Brain.exe einzuschalten nur weil da "Heidi Klump ganz Nackig" steht sollte doch jedem mittlerweile klar sein.
Und nur weil bei http:// das kleine 's' fehlt muss eine Seite ja auch nicht als Potenziell gefährlich eingestuft werden.
Der Punkt ist eben ob man der Gegenstelle und der CA vertraut oder nicht.
Beides muss gegeben sein, sonst ist die Verbindung eben nicht sicher.
Dass das System nicht perfekt ist ist irgendwie langsam klar, aber eine Alternative hat ja keiner so richtig.
Für meinen persönlichen Nextcloud (früher owncloud)-Server ist ein LetEncrypt Zertifikat schon eine feine Sache, musste doch vorher jeder mein privates Zertifikat akzeptieren bzw. ich musste es installieren. Auf den Domain-Computern kein Problem, aber an öffentlichen/fremden Computern musste man schon wieder prüfen. So wie bei mobilien Geräten.
Das Problem liegt aber nicht im System AN sich, sondern eher an so Scherzen wie bei Sophos. Ich kann nachvollziehen, dass man https Traffic irgendwie kontrollieren will, weil ja offensichtlich auch schadhafter Content via https kommt, aber ein MITM ist halt Schrott.