Maik: SSL-Proxy sicher?

Hi,

es geht um Daten der mittleren Sensibilitätsstufe.

Bestimmte Provider (z.B. hosteurope) bieten SSL-Proxies - ist das ein sicheres Verfahren zur Kommunikation mit dem Host oder gibts bei dem Konzept irgendwelche Schwachstellen?

(Dann könnt man sich ja in Zukunft jegliches Zertifikat sparen, wenn man mit einer nicht ganz so schönen URL leben kann. ;) )

Gruß von Maik

  1. moin,

    es geht um Daten der mittleren Sensibilitätsstufe.

    Bestimmte Provider (z.B. hosteurope) bieten SSL-Proxies - ist das ein sicheres Verfahren zur Kommunikation mit dem Host oder gibts bei dem Konzept irgendwelche Schwachstellen?

    SSL ist abhörsicher (noch). Aber vertrauenswürdig ist eine solche Umgebung (Drittprovider) nicht.

    roro

  2. Hallo,

    es geht um Daten der mittleren Sensibilitätsstufe.

    Das heißt? ;-)

    Bestimmte Provider (z.B. hosteurope) bieten SSL-Proxies - ist das ein sicheres Verfahren zur Kommunikation mit dem Host oder gibts bei dem Konzept irgendwelche Schwachstellen?

    Ja, mindestens drei (evtl. gibt's noch mehr, die mir gerade nicht einfallen):

    1. In der Adresszeile steht nicht mehr direkt Deine Domain (sonder höchstens als Unterverzeichnis). Leuten wurde jedoch in der Vergangenheit bereits (zurecht) eingebläut, dass man bei gesichterten Verbindungen immer schauen sollte, dass die Domain in der Adresszeile wirklich sitmmt. Als ich vor etlichen Jahren zum ersten Mal einen SSL-Proxy gesehen habe, dachte ich, ich wäre auf irgend einer dubiosen Phishing-Seite gelandet, bis ich dann mir mal per whois Informationen über die Domain und die IP geholt habe und dann festgestellt habe, dass das zu einem mir bekannten Provider gehört hat - und dann wurde mir erst klar, was da los ist. Von jemandem mit weniger Ahnung in Sachen Computern kann man nicht erwarten, dass er die Mittel kennt, um so etwas genauer zu analysieren, der wird unter Umständen nur denken "oh, da stimmt was nicht, also lasse ich's lieber bleiben".

    Bzw. was viel schlimmer ist: Gewöhnen sich die Leute erstmal an SSL-Proxies, fallen sie unter Umständen später viel schneller auf _wirkliche_ Phishing-Sites herein.

    1. Die Kommunikation ist nur zwischen Browser und SSL-Proxy authentifiziert - die Kommunikation zwischen SSL-Proxy und eigentlichem Server ist ungesichert. Bei einem Server mit SSL-Zertifikat musste jemand Administratorrechte auf dem eigentlichen Webserver erlangen, um Daten ausspionieren oder verändern zu können - zumindest zum Ausspionieren braucht man bei einem SSL-Proxy nur die Möglichkeit, im gleichen Netzwerksegment sniffen zu können.

    2. Da für *alle* Kunden des gleichen Providers gilt, dass sie die gleiche Domain nutzen, ermöglicht das Cross-Site-Scripting-Angriffe, d.h. wenn ein bösartiger User beim gleichen Provider auch den SSL-Proxy nutzen kann, dann kann er mittels JavaScript im Browser auf alle anderen Seiten zugreifen, die auch über den SSL-Proxy laufen (auch welche, unter denen der User Daten gespeichert hat) - und die traditionellen Mechanismen, die Browser besitzen, um Cross-Site-Scripting zu unterbinden, greifen nicht mehr, weil's eben doch die gleiche Site ist.

    Gerade Punkt 3 ist ein Sicherheitsnachteil sogar gegenüber *unverschlüsselten* Verbindungen - denn für Punkt 3 braucht man keinen Server ünernehmen, keinen Netzwerkverkehr zu belauschen, keine Man-in-the-Middle-Angriffe durchzuführen - man braucht nur einen Account beim gleichen Webhoster bestellen und schon kann man als Angreifer mehr Schaden anrichten, als wenn die Verbindung lediglich unverschlüsselt wäre. Der einzige Ausgleich: Zumindest die Verbindung Kunde <-> SSL-Proxy (Provider) ist verschlüsselt, d.h. der größte Teil des Internets kann nicht mithören. Mir persönlich wäre der Preis dafür aber zu hoch, dann lieber nicht verschlüsseln.

    Wenn Du nur einen geschlossenen Nutzerkreis hast, dann wären übrigens Alternativen wie CACert etwas für Dich - das Problem ist, dass deren Root-Zertifikat in noch keinem Browser integriert ist, d.h. die User es erst installieren müssten (oder dann zumindest Dein spezifisches Zertifikat, falls sie CACert nicht pauschal vertrauen wollen). Dafür würdest Du ein kostenloses Zertifikat bekommen - wenn Dein Provider Dir erlaubt, eigene Zertifikate einzuspielen, würdest Du zumindest den 2-3stelligen Eurobetrag pro Jahr für's Zertifikat sparen und hättest die gleiche Sicherheit wie mit "richtigen" Zertifikaten - bei einer geschlossenen Nutzergruppe kann man das Zertifikat nämlich kommunizieren (so machen wir's bei SELFHTML übrigens) - wenn *alle* Leute das nutzen können sollen (weil Du z.B. einen Online-Shop betreibst), dann nützt Dir das natürlich überhaupt nichts, denn dann verschreckst Du durch Sicherheitswarnungen nur Kunden, die das CACert-Root-Zertifikat nicht installiert haben - und deren Anteil dürfte aktuell > 99,99% liegen. Dann bleibt Dir im Endeffekt nichts anderes übrig, als Dir doch ein richtiges Zertifikat zu besorgen.

    Viele Grüße,
    Christian