IMHO: Das leidige Thema mit den Stammzertifizierern

Menu:/IMHO: Das leidige Thema mit den Stammzertifizierern

IMHO: Das leidige Thema mit den Stammzertifizierern

Imho ist eine Themenkette, die ich aufbauen möchte, um meine persönliche Meinung aufzuzeigen.

Beitrag ist Satire. Noch grammatikalisch unkorrigiert. Hilfe gerne erwünscht! Jetze aber nicht mehr. Bin total erkältet. Morgen vielleicht.

tl;dr: Wir haben alle miteinander ein Problem. Wir brauchen TLS, dringender denn je, doch es wird uns immer schwieriger gemacht, Vertrauen aufzubauen. Die Politik macht nichts. Weil die Torfköpfe in ihren politischen Elfenbeintürmen etwa zu dämlich sind, das Thema zu verstehen? Ein BSI zertifiziert „Dinge“, die nicht zertifizierungsfähig sind (Fehlende Ende zu Ende verschlüsselung). Frau M. treibt das #Schlandnet voran. Wenn ich an das politische Dreigestirn betreffend „Internet“ denke, fällt mir nur noch Karneval ein. Wie ich höre, sieht die Bundesregierung kein Problem darin, sich in heiklen Projekten weiterhin von Dienstleistern aus dem Ausland beraten zu lassen, die in meinen Augen ein kritisch-eklatantes Sicherheitsrisiko darstellen. Der Zustand betreffend #Stammzertifizierungsstellen in diesem „Land“ ist eigentlich ein Fall für das Kartellamt. Wo zum Geier noch einmal bin ich hier? Auf Deutsch: Ich habe einen Hals.

Der Reihe nach. Als ich 2013 im Juli anfange, über die DE-Mail zu lästern, werden mir 3 Alphabetsbuchstaben in einer Nonchalance vor die Nase gehalten, dass einem die Davidoff im Aschenbecher ungeraucht ausgeht: KRA – Key Recovery Agent. Auch wenn ich mich nicht gerne wiederhole, hier ist’s wohl Pflicht. O-Ton Mark Heitbrink, dem ich überhaupt gar nichts hinzuzufügen habe:

John Lose, mein Problem liegt darin, daß ich gerade alle offiziellen Stelle verdächtige mitzulesen und nicht glaube, daß eine Organisation die im Besitz des RecoveryAgent ist, nicht gezwungen werden kann ihn rauszugeben. Andererseits, vielleicht werden sie garnicht gezwungen, sondern das Konstrukt war gleich so geplant, das man zusammenarbeitet.Warum ist die Liste der Stammzerts eigentlich so ein kleines Oligopol? Warum werden Cacert und andere nicht aufgenommen? Bislang dachte ich es geht einzig und allein um Geld. Jetzt denke ich, es gibt noch einen 2ten Grund.
Mark Heitbring, Facebook, 21.07.2013

Nochmal, in aller Deutlichkeit: Es geht hier um verschlüsselte Ende zu Ende Kommunikation. Es ist grundsätzlich niemandem zu trauen. Keinem Stammzertifizierer. Es geht hier um TLS. Also die Chain of Trust, die Schlüsselkette, also das Ding, das Dir versichert, dass der Server derjenige ist, mit dem Du sprechen möchtest – z.B. Deine Bank oder Facebook oder Twitter oder das Ding, von Dem Du Deine DE-Mail abschickst (weil Du in meinen letzten Beiträgen nicht aufgepasst hast) und die Grundlage, auf der die gesamte Verschlüsselung aufgebaut wird, ja selbst Dein Autoschlüssel und der Chip in Deiner EC-Karte funktionieren so. Und das Ding hat ein Problem: Sie haben alle einen Nachschlüssel. Auch wenn der hier KRA betitelt wird, damit kannst Du alles aufmachen. Die gesamte Kommunikation bis hin zu Deinen Anmeldedaten. Und dann ist derjenige drin, der Dich angreifen will.

Jahrelang habe ich GoDaddy.com die Treue gehalten. Es ist der größte, der stabilste, der schnellste und – der „preiswerteste“ gewesen. Irgendwann kam diese Diskussion auf. Das war noch vor Snowden. Zwar kurz davor, aber davor. Bevor ich in einem dunklen Café in Düsseldorf versucht habe, diese verstörenden Folien eines gewissen Herrn S aus USA zu verstehen, also zumindest das, was wir sehen durften.

Ich habe GoDaddy’s Zertifikate überall verblasen. Bei jedem Kunden, bei mir selbst, bei vielen Projekten, einfach überall. 2013 stelle ich mich vor alle und sage: Ihr dürft das nicht mehr tun. Ihr müsst jetzt was anderes tun. Das, was ich Euch erzählt habe, war #Bullshit. Nehmt wenigstens deutsche Stammzertifizierer. Diese Pille muss man erstmal geschluckt haben.

Irgendwann lese ich, dass Microsoft ungefragt Stammzertifizierungsstellen (CA’s) nachlädt. Das ganze verschärft sich, als ich höre, wie es um den Müll in unserem Rechner bestellt ist: Klick. Aus Windows 377 CA’s kann ich ganze 114 CA’s rausschmeißen, ungeachtet der Tatsache, dass ich sie einen Monat später wieder drin habe. Welcher Administrator soll das noch nachvollziehen können? Bei Apple sind’s immerhin 38 von 172 und sie bleiben draußen, wenn man sie rausgeschmissen hat. Immerhin werden hier auch nicht mehr die CA’s verteilt, bei denen schon mehrfach eingebrochen wurde.  Warum ich hier so penetrant drauf rumreite? Jeder meiner Kunden, der von mir eine Sophos UTM bekommen hat, kann sich vorstellen, wie leicht es ist, mittels vertrauenswürdigem Zertifikat den SSL-Verkehr komplett einzusehen. Firmen tun das, mit Recht. Sie müssen schadhaften Content draußen halten. Sonst jedoch hat keiner das Recht, MITM (Man In The Middle) zu spielen. Und deswegen will ich wissen, wem mein Rechner vertraut. Und ich will verdammt nochmals selbst die Kontrolle darüber haben. Aber nein, wir treiben das Spiel mit TPM/UEFI und Secureboot auch noch auf die Spitze! Hier will mir schlussendlich jemand vorschreiben, wem ich zu vertrauen habe. UEFI kann übrigens auch anders und zudem noch sicher gehen, wie ein anderer Hersteller aus den USA zeigt.

Weiterhin habe ich keinerlei, absolut überhaupt kein Verständnis dafür, dass ich einen IIS von Microsoft an den Rand der Unbrauchbarkeit vergewaltigen muss, um TLS 1.2 mit PFS zu erzwingen (Mindestmaß eines Sicherungsstandards). Das gleiche gilt übrigens für einen Tomcat oder was weis ich, was hier noch so undokumentiert rumfleucht. Nochmal: Ich will das klickibunti konfigurieren können und nicht in die Registry oder igendwelche .conf’s oder web.configs abtauchen. Ich mag und will das nicht. Schon gar nicht mein Kunde.

Jetzt kann ich, wie in der verlinkten Facebook-Diskussion angemerkt, eine Vertrauenskette unter den Geschäftspartnern selbst aufbauen. Doch ist das praktikabel? Nö. Welche iPhones und Galaxy’s sollen dann noch von welchem Exchange irgendwelche Emails oder Kalendereinträge abholen, ohne 10seitige Dokumentationen oder gangbare MDM-Lösungen? Na wunderbar. Ich freue mich jetzt schon auf die Diskussion mit den Anwendern. Also folgen wir Frau M. Und dem „Schlandnet“. Was brauchen wir also? Richtig. Deutsche Trustcenter. Eine rein deutsche CA.

OK, das muss ja ein wahres Eldorado sein. So‘ ne richtige Gelddruckmaschine. Aber: die Liste ist kurz. Wen hätten wir da? Boah, ganze zwei Stück. Hab‘ ich wen vergessen? HER DAMIT! Jetzt kenne ich nur D-Trust und Telesec. Wobei – letzteres – rein deutsch? Mitnichten, wenn man sich hier was bestellt, wird nicht mal mehr darüber aufgeklärt, dass Irland die Wurzel hat:

Bildschirmfoto 2014-03-17 um 22.46.33

Naja, immerhin noch deutlich besser, als ein UKUSA/FiveEyes-Land, aus jenem Herr S. fliehen musste, weil er die Wahrheit spricht. Auch wenn der Name „Baltimore Cybertrust“ sich für einen deutschen Staatsbürger erstmal bedrohlich anhört und die Baltimore-Yoshi’s in der Vergangenheit mehr als die Hälfte aller X509 Zertifikate der NSA bereitstellten – Hintergründe. Naja. Gottvertrauen – Es ist ein Europäer. Und nicht die NSA. Malen wir das mal „magenta“ an. Wird schon gut gehen. Hoffentlich. Nun gut, der Weg des geringsten Widerstands ist also momentan (noch) die Telekom. Immer noch gerne gewählt, wenn man keine Zeit hat und es schnell gehen muss. Kommt ja selten vor. Doch nicht? Nun ja, das ist immer dann der Fall, wenn man für einen Kunden „mal eben“ ’ne Infrastruktur aufbauen möchte. Und das muss schnell gehen. Ich will da nicht telefonieren müssen. Ich will, dass das genau so geht wie bei GoDaddy. Die können überprüfen was sie wollen. Kein Problem. Ich schicke denen alles was sie wollen, dass sie wissen, dass ich der bin, der ich behaupte zu sein. Bei GoDaddy hat die Ausstellung immer so rund 2h gedauert. Die Domain Verification klappte mittels simplen Texteintrag augenblicklich. Die extended Validation – dieses Ding da mit der grünen Browserzeile – das ging innerhalb von 3 Werkstagen vonstatten. Das war super.

Telekom
Das kann die Telekom auch, wenn sie denn möchte. Bei einem Antrag bei einem meiner letzten Kundenprojekte hat das mit etwas Nachdruck per Fax und einem Gespräch mit einem indischen Supportmitarbeiter unter 3h geklappt. Neuer Rekordwert. Die Telekom/Telesec hat ’ne schicke Webseite, ein ordentliches GUI, das passt und funktioniert. Im Regelfall. Fast so, wie bei GoDaddy. Ganz anders sieht das aus, wenn man einer weitere Tochterfirma eines Kunden einer einheitlichen Gesellschaft ein Zertifikat für die gleiche Domäne zukommen lassen möchte. Hier streikt’s. Hier muss sich der Geschäftsführer (derselbe beider Gesellschaften, in Denic eingetragen) mittels Bescheinigung selbst bescheinigen, dass er sich bescheinigen darf, Geschäftsführer zu sein und die Domäne so verwenden möchte, wie er das denn vor hat. Macht das mal mit Eurem Kunden. Der zeigt Euch ’nen Vogel. Geht aber. Hinweis: Du kommst Dir ziemlich dämlich vor und versuchst die Anfrage bei der Geschäftsführung möglichst intelligent klingend zu formulieren. Aber: Geht. Alles in allem ist die Telekom Telesec das geringste Übel, wenn man sich die Alternative ansieht. Telesec Ende. 

Zwischenruf: Nein, auch das gelbe Postdingens da ist nicht mehr deutsch. Ist diesem Vollprofi aus der letzten Legislaturperiode Friedrich nicht aufgefallen (wohl eher der gesamten CDU), auch wenn er so auf dem Deutschlandnetz rumpoltert. BTW, seine Homepätsch und das Zertifikat von Comodo haben da www-was kabarettistisches:

Bildschirmfoto 2014-03-18 um 00.03.11

D-Trust
Nase voll? Geht’s noch schlimmer? „Höhö“! Gut, hier kommt D-Trust. Keine Sorge, die toppen das. All den Widerlichkeiten zum Trotz habe ich für einen meiner Langzeitkunden bei der D-Trust angefragt. Hier musste es eigentlich schnell gehen, doch die Antwort einer Anfrage kam aus dem Vertrieb erst zwei Wochen später. In jener wurde mir versichert, dass die D-Trust keinen KRA herausgibt, eine 100%-Tochter der Bundesdruckerei ist und in den nächsten 5 Jahren nicht verkauft wird, wie schon mit so einigen deutschen CA’s geschehen

OK, die Preise bei D-Trust stimmen. Auch wenn sie sich „nach Herrn S.“ mehr als verdoppelt haben. Auch wenn die Preisliste derer für „Communication SSL“ nicht durchsichtig ist. Ich sehe hier nicht, ob weitere, alternative Antragsstellernamen jährlich oder einmalig bezahlt werden müssen. Gehen wir nach Schema F, also Microsoft (im zweifel das teuerste)? Ein Ansprechpartner am Telefon beruhigt mich. Auch wenn er seine Preisliste zunächst selbst nicht versteht. Doch das ist noch nicht alles. Ist so ein Zertifikat einmal genehmigt (So wegen Kosten und so – das ist übrigens nicht so einfach, eine Geschäftsführung handelt da grundsätzlich gewinnorientiert – sinnvoll! – und nach dem Grundsatz „tut das not oder kann das weg“). Also, bis jetzt hat dieser CSR eines jeden IIS und eines jeden Exchange Servers per GUI grundsätzlich geklappt. Naja, ist ja auch einer der weniger häufig vorkommenden Mailserver. Ganz selten. Dieser Exchange. Generier Du mal ein CSR mit dem Exchange Server und lade den mal bei D-Trust hoch. Nix is‘. Ein Gespräch mit der  Supporthotline und Maiverkehr und hin und nach Hinsenden des CSR’s brachte O-Ton folgendes als Antwort zurück: Ihr CSR ist falsch. Der funktioniert nicht. Da ist ein Leerzeichen zu wenig. Bitte??? Ein CSR eines Standardsystems funktioniert nicht? Gut. Mit wirklich ungutem Gefühl geben wir das gemäß Supportwunsch veränderte CSR in’s GUI ein und es klappt. Wir erhalten umgehend eine Bestätigung per Email. Vier Tage später fragen wir nach, was denn so mit der Zuteilung des Zertifikats denn so „abgeht“. Wir müssten uns noch weitere 2 Wochen gedulden. Nach 4 Wochen platzt selbst mir der Kragen und ich werde penetrant. Ist ja nicht so, als ob da irgendwas von abhinge, so dringend benötigte Sharepointsites und ein ablaufendes Bestandszertifikat so. Ich will also wissen, wer der Babbo ist. Mein Kunde fragt nach. Antwort (nach 5 Wochen): Sie hätten das CSR nicht erhalten, der Auftrag sei nicht eingegangen. Sprachloses zusammensinken. Weiterleiten der Bestätigungsmail inkl. CSR. -> Supportfall. Weitere 7 Tage vergehen. Seit Beantragung des Zertifikats sind inzwischen 1 1/2 Monate vergangen. Und jetzt: Eine Email geht bei meinem Kunden ein. Das CER (passender Schlüssel zum privaten) kommt per Email. BITTE? Ja, genau, per EMAIL. Unsigniert. Unverschlüsselt. PER EMAIL. Gut, es ist der öffentliche Schlüssel, aber das gottverdammte Ding kommt per EMAIL. In der Nachricht wird in keiner Form auf die korrekte Trustchain hingewiesen, und D-Trust hat davon eine – nun sagen wir „leicht übersichtliche“ Anzahl an CA’s: Klick. Auf Deutsch: Es ist das unübersichtlichste Chaos auf einer Webseite, welches ich je gesehen habe. Da sieht’s selbst bei Hempels unter’m Sofa besser aus. Das Importresultat des CER’s ist natürlich – wie sollte es auch anders sein:

Bildschirmfoto 2014-03-17 um 23.52.31

Fluchend beginne ich, das vermeintlich passende CA zu suchen. Finde es. Schaue mir das Zertifikat an. Es bleibt im gleichen Zustand. Auch nach Neustart der Kryptodienste. Ich denke an das veränderte CSR und mir beginnt nach 7 Wochen schlecht zu werden. Mein Kunde beginnt, eigenständig nach den richtigen Ketten zu suchen. Nach einem weiteren Supportfall mit D-Trust, den ich nicht betreut habe, ist der private Schlüssel „weg“. Endgültig sprachloses zusammensinken.

Sorry, aber Hauptgefreiter D-Trust, spüren Sie die Einschläge? Geht’s noch? Wollen Sie keine Kunden? So á la „Feind naht und droht mit Auftrag“? TTV (Tarnen, täuschen, verpissen)? Warum haben wir kein  einziges (kompetentes) rein deutsches Trustcenter? Frau M (Hat was von 007), wer ist denn jetzt für dieses Problem zuständig? Der „Digital Native“ (**prust**) Dobrindt? Dieser Gabriel etwa? Na wer denn jetzt? Sie etwa? Oh, wait, bevor sie diese gleichen Dienstleister, wie etwa so bei DE-Mail oder beim Codereview für den Bundestrojaner beauftragen – Machen Sie das besser weiter so mit dieser „E-MAIL“. Auch wenn’s Ihr neuer Kunde so nicht „gewohnt“ ist.

Mann!

Erst jetzt begreife ich, dass das so gewollt ist. Keine Regierung ist so dumm, ihren Bürgern Ende zu Ende Verschlüsselung zu ermöglichen. Die sind ja richtig schlau! Also muss ich meine Frage „Weil die Torfköpfe in ihren politischen Elfenbeintürmen etwa zu dämlich sind, das Thema zu verstehen?“ umdichten in diese Antwort -> „Sie haben genau verstanden, nur der Bürger ist zu dumm zu verstehen“. Mit der Sicherheit ist das also wie mit meinem Geld, es ist nicht weg, es hat nur jemand anders. Naja, wenn auf diesem Hochtechnologie-Planeten selbst ’ne ganze Boeing verschwinden kann… Ich habe fertig.

 

By | 2014-03-20T21:44:28+00:00 03.03.2014|Allgemein|Kommentare deaktiviert für IMHO: Das leidige Thema mit den Stammzertifizierern

About the Author:

John Lose

John Lose ist Informationstechnologe und Datenreisender. Manche mögen ihn als „Aluhut-Träger“ bezeichnen, denn er mag nur kleine Rechenzentren, die er selbst kennt. Public Clouds kommen für Ihn höchstens für Webseiten in Frage. John ist Katzenliebhaber, hat aber keine Katze, fährt gerne nach Südfrankreich und hört Tech-House. Mehr über John Lose erfährst Du in seiner Vita.  Wenn Dir dieser Beitrag gefallen hat, so kannst Du auch Danke sagen, wenn Du möchtest:  >> Dankeschön <<.