Keine Warnung bei fehlerhaftem SSL Cert

Questions and information regarding TeamDrive supported WebDAV servers - Fragen und Informationen zu von TeamDrive unterstützten WebDAV-Servern

Keine Warnung bei fehlerhaftem SSL Cert

Postby dicer » 12 Mar 2009, 22:49

Hallo,

vielen Dank fuer die HTTPS Unterstuetzung. Sie funktioniert auch soweit super. Allerdings gibt es leider keinerlei Meldung, wenn das Zertifikat nicht korrekt ist. Ich habe hier mal ein selfsigned Cert ausprobiert: Teamdrive gibt keinerlei Warnung aus. Das gleiche gilt natuerlich auch fuer abgelaufene oder nicht zu der Domain passende Zertifikate (habe ich allerdings nicht getestet).

Das sollte UNBEDINGT geaendert werden. Ansonsten kann man die HTTPS Unterstuetzung eigentlich nur als fehlerhaft bezeichnet werden. Am besten eine Abfrage einbauen, ob man das Zertifikat so akzeptieren moechte (mit angezeigtem Fingerprint). Im laufenden Betrieb spaeter sollte auf alle Faelle *keine* Verbindung hergestellt werden, wenn das Zertifikat nicht passt. Ausser der Fingerprint wurde beim Anlegen explizit abgenickt. Dadurch ist sichergestellt, dass man auch selfsigned Certs verwenden kann, aber trotzdem niemand andere Certs unterschieben kann.

Jemand koennte ohne Probleme als Man-In-The-Middle den User und das Password abfangen. Gibt da ja mittlerweile fertige Software fuer, die sowas automatisch macht (zb bei einem WLAN). Die Daten an sich sind zwar nicht in Gefahr (da nur verschluesselt auf dem Server), aber ich moechte nicht sehen, wie mein Webdav Server als Dateiablage fuer Warez oder sonst was missbraucht wird.

Gruss,
Felix
dicer
 
Posts: 7
Joined: 05 Mar 2009, 12:13

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby volkeroboda » 13 Mar 2009, 21:29

Hi Felix,
werden bei fehlerhaften SSL Cert. die Zugangsdaten nicht verschlüsselt? Ich habe bei mir Zuhause eine Festplatte mit WebDAV. Die Software hat auch selber ein Cert. erstellt. Ist das jetzt unsicher? Ich habe einigen Freunden Zugang gegeben. Wenn diese mit mir Datenaustauschen verbinden sie sich mit meinem Server. An welcher Stelle wird es unsicher?

Jede Rat ist willkommen.

Volker
volkeroboda
TeamDrive Team Member
 
Posts: 583
Joined: 10 Jul 2008, 19:53

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby EPruehs » 13 Mar 2009, 22:30

Hallo,

das Problem mit den unsicheren Zertifikaten haben wir schon in Arbeit und wird in einer der nächsten Versionen behoben sein. Es wird dann eine Warnmeldung geben.

Mfg. E. Pruehs
EPruehs
TeamDrive Team Member
 
Posts: 169
Joined: 17 Jul 2008, 18:05

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby jogibaer » 14 Mar 2009, 19:15

Hallo Alle!

wie verhält sich denn Teamdrive, wenn sich das Zertifikat des Servers ändert?

Ich habe also einen eigenen WebDAV-Server mit einem "privaten" Zertifikat für TD eingerichtet und plötzlich meldet sich der vermeintliche Server mit einem anderen Zertifikat!
jogibaer
 
Posts: 20
Joined: 24 Oct 2008, 23:43

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby dicer » 16 Mar 2009, 11:56

@ volkeroboda
Verschluesselt wird das ganze schon. ABER: Wenn jemand nun in die Uebermittlung eingreifen kann, kann er eine sogenannte Man-In-The-Middle Attacke durchfuehren. Dafuer generiert er ein eigenes SSL-Zertifikat und schickt das an den Teamdrive-Client. Dieser verschluesselt dann das ganze zwar, aber der Angreifer kann alles entschluesseln und dann neu verschluesselt an deinen Webdav-Server weiterreichen. Der Client merkt erstmal nichts davon.
Genau fuer solche Faelle gibt es fertige Tools, die zB ein offenes WLAN anbieten und dann automatisch alle SSL-Verbindung mittels einem dynamisch generiertem Zertifikat abfangen, entschluesseln und an den Zielserver weiterleiten.
Wenn es ein kein "offizielles" Zertifikat ist, dann merken zB Browser das und eine Warnung wird angezeigt. Teamdrive nimmt momentan einfach alles an Zertifikaten an. Ich will jetzt nicht zu sehr auf die Details eingehen, da sonst der Eintrag arg lang wird.

Was nun eigentlich in Teamdrive drin sein muesste: Anzeige des selbst-generierten Zertifikats inkl. Fingerabdruck (den jedes Zertifikat hat) beim Anlegen des Servers bei dir im Teamdrive und du muesstest dann einmal den Fingerabdruck bestaetigen. Danach wuerde dann nur genau dieses selbstgenerierte Zertifikat von Teamdrive angenommen werden und bei allen anderen Faelschungsversuchen ein Fehler angezeigt.

Du kannst ja einfach mal die Webdav-Adresse im Browser aufrufen. Da siehst du dann, wie Browser das ganze handhaben.


@jogibaer
Das ist genau die Frage. Habe ich jetzt nicht genau getestet. Es MUSS aber auch in diesem Fall wenigstens eine Warnung angezeigt werden. Das Problem ist allerdings technisch nicht allzu trivial, da solche Zertifikate ja auch ablaufen. Das ist allerdings nur bei "privaten", selbstgenerierten Zertifikaten ein Problem. Bei "offiziellen" Zertifikaten kann geprueft werden, ob eine bekannte Zertifizierungsstelle dieses Zertifikat ausgestellt hat. Daher kann sich auch jederzeit das Zertifikat an sich aendern. Die Browser haben zB eine Liste an Zertifizierungsstellen drin, denen sie vertrauen. Alles von denen ausgestellte ist OK, alles andere generiert eine Warnung.
Deswegen sind selbstgenerierte Zertifikate gerade in solchen automatischen Umgebungen wie Teamdrive eine ist, recht problematisch. Im Endeffekt muesste bei privaten Zertifikaten der Fingerabdruck in dem Server-Key abgespeichert werden und auch per Einladung verteilt werden. Wenn das Zertifikat dann ablaeuft, muesste man die Verbindung verweigern und der Share-Besitzer muss den Server-Key updaten, den neuen Fingerabdruck abnicken und dann irgendwie (per Einladung?) wieder an alle anderen verteilen. Das waere die sicherste aber auch unbequemste Art das ganze zu loesen.


Ich kann daher nur empfehlen offizielle SSL-Zertifikate einzusetzen. Die gibt es mittlerweile schon ab 15Euro pro Jahr. Allerdings ist dann immer die Frage, ob diese dann auch mit Teamdrive kompatibel sind, da die oben erwaehnten Listen von Zertifizierungsstellen natuerlich von Software zu Software verschieden sind. Am besten also abwarten, wie Teamdrive das ganze implementiert.
dicer
 
Posts: 7
Joined: 05 Mar 2009, 12:13

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby volkeroboda » 16 Mar 2009, 21:26

Danke für die Erklärung:

wie von E. Pruehs bereits erwähnt, wird TeamDrive die Erkennung von Zertifikaten einbauen. TeamDrive kann nur empfehlen nur sichere offizielle Zertifikate zu verwenden. Die TeamDrive Daten selber sind von den Angriffen nicht betroffen, da diese ausschließlich verschlüsselt übertragen werden. Ich werde meinen eigenen Server mit einem offizellen Zertifikat versehen.

Gruß

Volker
volkeroboda
TeamDrive Team Member
 
Posts: 583
Joined: 10 Jul 2008, 19:53

Re: Keine Warnung bei fehlerhaftem SSL Cert

Postby shaggy » 24 May 2011, 16:31

hallo

ich bin gerade auf diesen thread gestoßen weil ich mir auch die frage gestellt hab, warum mich meine td-installationen bei einem fehlerhaften (egal ob selbsterstellt oder abgelaufen) nicht warnt, hab beides schon getestet.
klar, ich weiß dass alle daten vom td verschlüsselt übertragen werden, jedoch ist die integration einer meldung bei einem fehlerhaften serverzertifikat wie hier zugesagt leider noch nicht erfolgt, was ist aus dem vorhaben geworden?

grüße
shaggy
shaggy
 
Posts: 7
Joined: 10 Dec 2010, 04:10


Return to WebDAV Server - WebDAV-Server

Who is online

Users browsing this forum: No registered users and 12 guests

cron