[BraLUG] Vortrag: WebPKI Revisted

[André]

Der Vortrag fand in beschaulicher statt.

Nach kurzer Auffrischung warum wir für Channel/Transport Security (wie TLS) 
auch Authentifizierung des gegenübers will. (Meist muss sich nur der Server 
dem Client gegenüber ausweisen. Authentifizierung des Users geschiet falls 
notwendig auf Applikationsebene. )
Gings kurz um PKIs, was ist an der PKI fürs Web anders als z.B. an der PKI 
fürs FirmenVPN.
(Notiz: WebPKI == die PKI Struktur die im Web benutzt wird ;) )

Dann wurd es auch spannender und die Probleme von Zertifikationsrevokationen 
und die Überprüfung dessen wurde beleuchtet.

Wenn man als Anwender Überprüfen ob nur einem oder auch anderen auf der Welt 
ein gewisses Zertifikat präsentiert kann man einen Notarservice wie z.B. 
Perspectives[0] nutzen.

Weltweit verteilte Server sammeln dabei Informationen über TLS-Zertifikate und 
man kann die Anfragen um sich eine weitere Meinung zu Bildung.

Es gab eine Frage inwiefern Inkonsistenzen Browserwarnungen erzeugen:
Ich hab das nochmal getestet und bei dieser Implementierung wohl garnicht. Es 
gibt nur ein Icon neben der URL-Leiste das Informationen anzeigt, aber sich 
nicht auf die Validierung auswirkt.


Ein anderer Spannender punkt war DANE, da ist die Idee Schlüsselinformationen 
in TLSA-Records auf dem DNS-Server zu hinterlegen. Dafür bräuchte man aber 
vertrauenswürdige DNS-Responses, was man z.B. mit DNSSEC erreichen könnte.

Dafür durchwühl ich nochmal die Browserhostorie und schreib gesondert ;)

Nutzt von euch jemand so ein Notarservices oder Client-Side Pinning oder hat 
schonmal TLSA-Zeug ausgerollt und Erfahrung mit gemacht? 
Ich wär an Erfahrungsberichten Interessiert, weil ich nicht die Zeit hab mir 
alles anzugucken. Und nur durch Research-Paper und Projektbeschreibung lesen 
kann man sich leider nur schlecht ein Bild über die Benutzbarkeit machen

Danke, dass welche da waren! :)

Andre



http://perspectives-project.org/

On Thursday 26 June 2014 12:47:41 andre wrote:
>Huhu,
>
>wollt nochmal dran erinnern, nich das danach welche sagen "ohh wusst ich 
>nich und musst jetz notgedrungen fuba gucken .."
>
>Vmtl. hat eh keiner die Absicht Tore zu schießen, könnte ja die 
>transatlantische freundschaft gefährden oder der Spielplan und die 
>Taktik ist eh schon über die bekannten Spy agencies geleakt.
>
>Daher viel lieber sich informieren, ob man z.B. wirklich direkt mit dem 
>Webshop spricht, bei dem man das supertolle Gadget klicken will ;)
>
>
>Grüße
>Andre
>
>
>
>
>
>On 06/24/2014 01:56 PM, andre wrote:
>> Huhu,
>>
>> Donnerstag gibts ja wieder n voll tollen Vortrag. Ich hoffe mit den 
>> Zügen passt alles, ich werde mir ausreichend Puffer einplanen.
>>
>> Vorwissen ist keins von Nöten, aber man sollte mal son Webbrowser 
>> benutzt haben um die Problematik zu verstehen ;)
>> Detailtiefe wird dann ad hoc dem anwesenden Publikum angepasst.
>> Bin Fragen, Anregungen und Wünschen gegenüber offen ;)
>>
>>
>> Bis Donnerstag
>> Andre
>