Frage:
Should I trust a website which uses a SHA-1 HTTPS certificate?
user1
2016-05-26 14:08:01 UTC
view on stackexchange narkive permalink

Ich bin auf einer Website, auf der ich für etwas bezahlen muss. Diese Website enthält oben links die folgende Warnung:

enter image description here

Diese Website verwendet eine schwache Sicherheitskonfiguration (SHA-1-Signaturen) ) Ihre Verbindung ist möglicherweise nicht privat.

Soll ich meine Kartendaten eingeben und auf dieser Website für etwas bezahlen?

Was sind die Sicherheitsrisiken?

Zusätzliche Informationen:

Ich verwende Google Chrome auf einem Windows 10-Computer.

Im Internet Explorer wird folgende Meldung angezeigt:

enter image description here

Liest sich wie jemand, der wirklich XP zum Arbeiten benötigt (Serveradministrator).
Fünf antworten:
#1
+71
Philipp
2016-05-26 14:36:39 UTC
view on stackexchange narkive permalink

Es ist ein schlechtes Zeichen, aber es ist immer noch sehr unwahrscheinlich, dass die Verbindung abgehört wird.

Auf der Website scheint ein gültiges Zertifikat von einer Zertifizierungsstelle signiert zu sein, aber es ist mit einem schwachen signiert und veralteter Hash-Algorithmus.

Was bedeutet das?

Dies bedeutet, dass die Verbindung verschlüsselt ist und ein passiver Lauscher immer noch nicht mithören kann. Aber ein entschlossener Angreifer mit Zugriff auf viel Rechenleistung könnte ein gefälschtes Zertifikat für diese Website erstellen und es verwenden, um sich als Website auszugeben. Es ist also möglich, dass Sie sich nicht auf der Website befinden, von der Sie glauben, dass Sie sie sind, sondern auf einer Website, die von einem Hacker kontrolliert wird. Ein solcher Angriff würde jedoch eine Menge Ressourcen erfordern und zusätzlich die Kontrolle über einen Router zwischen Ihnen und der Website erfordern.

Aber selbst wenn wir davon ausgehen, dass kein Angriff stattfindet, sollten wir weitermachen Kümmere dich darum, welchen Eindruck das macht. SHA-1 ist seit einiger Zeit veraltet. Wenn sich die Administratoren dieser Site immer noch nicht um Aktualisierungen kümmern, ist dies ein ziemlich schlechtes Zeichen für ihre allgemeine Kompetenz. Es könnte bedeuten, dass sie auch in Bezug auf andere Aspekte der Sicherheit ihrer Website ziemlich nachlässig sind. Die endgültige Entscheidung, welche Informationen Sie ihnen zur Verfügung stellen, liegt bei Ihnen.

Bedeutet dies also, dass das schwache Zertifikat nur für einen "Man in the Middle" -Angriff anfällig ist?Wenn ich also garantieren könnte, dass ich in einem sicheren Netzwerk bin, sollte dieser schwache Hashing-Algorithmus kein Problem sein?
@user1 Es kommt nicht nur auf Ihr Netzwerk an, sondern auch auf das Netzwerk und jedes dazwischen liegende Netzwerk.Aber wie gesagt, ein Angriff ist sehr unwahrscheinlich, da das Generieren eines Zertifikats, das einem bestimmten SHA-1-Hash entspricht, immer noch viel Rechenleistung erfordert.
@user1 In Bezug auf die erforderliche Rechenleistung: Es gibt [eine Analyse von Jesse Walker] (https://www.schneier.com/blog/archives/2012/10/when_will_we_se.html), die von [Bruce Schneier] (https://www.schneierfacts.com/).
@Phillipp Wow Danke.Das zeigt wirklich das geringe Risiko.- Anzeige der geschätzten Kosten als: "29 * 28,4 = 217,4 ~ 173.000 USD bis 2018"
@user1 Es ist erwähnenswert, dass diese Kostenberechnung AWS umfasst, das viel teurer als nötig ist.Ein entschlossener Krimineller würde wahrscheinlich nicht AWS verwenden, sondern Botnets oder maßgeschneiderte Server-Rigs (wahrscheinlich mit GPUs), die viel billiger und schwerer zu binden sind als die Rechenzeit der öffentlichen Cloud im Wert von Hunderttausenden von Dollar.Wie bereits erwähnt, ist dies ein Teil der Umschlagberechnung und wahrscheinlich einem Worst-Case für Angreifer viel näher als einem Best-Case.
Es ist jedoch auch erwähnenswert, dass die Kostenberechnung für einen einfachen Kollisionsangriff vorgesehen ist.Das erzeugt zwei Dateien mit zufälligem Müll mit demselben sha1-Hash.Das Erstellen eines gefälschten Zertifikats mit Schwachstellen der Hash-Funktion ist nicht so einfach.Es erfordert einen Kollisionsangriff mit "eindeutig ausgewähltem Präfix" (schwieriger als ein grundlegender Kollisionsangriff) * und * eine Zertifizierungsstelle mit schlechten Ausstellungspraktiken.Ein Preimage-Angriff würde die Notwendigkeit einer Zertifizierungsstelle mit schlechten Ausstellungspraktiken beseitigen, aber Preimage-Angriffe sind weitaus schwieriger als Kollisionsangriffe.
Wenn sie so viel Computer hätten, würden sie dann nicht einfach ein paar kleine Münzen generieren?
@Dave Wenn sie dumm wären, könnten sie.Es ist nicht mehr möglich, BitCoins mit etwas anderem als ASICs (Application Specific Integrated Circuits) profitabel zu generieren, und das schon seit einigen Jahren nicht mehr.
@user1 Es gibt kein "sicheres" Netzwerk, es sei denn, Sie blicken mit diesem Unternehmen über eine direkte Verbindung.
@Navin und das ist auch nicht sicher
@HopelessN00b, hingegen geht davon aus, dass Moores Gesetz fortbesteht, was der beste Fall ist.
Ich dachte, SHA-1-Interception kann sogar auf einer Hochsicherheits-Website durchgeführt werden, wenn Ihr Browser dies verfügbar macht.Über einen MitM-Angriff?
@HopelessN00b es war nicht rentabel, wenn Sie für die Energie bezahlen.Botnets und Malware zahlen nicht für den Stromverbrauch.
Eine Gruppe von Forschern hackte die NASA-Karriereseite, die SHA-1 verwendete, und benötigte dafür 100 US-Dollar an AWS-Krediten
@JamesLu Können Sie eine Quelle angeben?Ich bin mir ziemlich sicher, dass Sie hier etwas durcheinander bringen, da es neben Zertifikatsignaturen viele Anwendungen für SHA-1 gibt und für einige von ihnen, wie das Knacken von Hashes schwacher Passwörter, Kosten von 100 US-Dollar überhaupt nicht unplausibel sind.
#2
+25
coteyr
2016-05-26 21:11:24 UTC
view on stackexchange narkive permalink

Wie andere bereits gesagt haben, ist das Risiko für einen MiM-Angriff technisch gering. Dies hat jedoch ein größeres Problem und eine größere Auswirkung.

Soll ich meine Kartendaten eingeben und für etwas auf dieser Website bezahlen?

NEIN, SIE SOLLTEN DIESE WEBSITE NICHT FÜR EINE KARTENTRANSAKTION VERWENDEN

Das SSL-Problem ist, wie von anderen angegeben, relativ gering. Die Verwendung eines SHA-1-Hashs bedeutet jedoch zwei sehr wichtige Dinge.

  1. Sie haben PCI DSS nicht befolgt Empfohlene Vorgehensweise. Die Verwendung von SHA-1 beim Signieren von Zertifikaten oder bei der Verschlüsselung selbst wird nicht empfohlen und muss während eines AVS (Automated Vulnerability Scan) mit einer Ausnahme versehen werden. Das bedeutet, dass sie beim letzten PCI-Scan alles daran setzen mussten, um zu bestehen, weil sie nicht den besten Praktiken folgten. SHA-1-Hashes können nur unter bestimmten Umständen und nur zur Unterstützung älterer Setups verwendet werden. Sie müssen immer einen anderen Hash unterstützen. Da Sie Windows 10 verwenden, unterstützen Sie die neueren Hashes nicht.
  2. Wenn sie sich nicht die Mühe machen können, diese sehr einfache, einfache und erforderliche Zertifizierung durchzuführen, kümmern sie sich einfach nicht genug um die Sicherheit Ihrer Kreditkarte, um sie damit zu vertrauen.
  3. ol>

    Wichtige Hinweise:

  • Ich helfe Kunden ständig bei der PCI-Konformität. Es ist ziemlich einfach und unkompliziert. Es dauert "einige Zeit", aber es ist eine sehr kleine Investition, wenn Sie mit Karten umgehen. (vielleicht 2-3 Tage mit 1-2 Stunden pro Tag, nach einem großen Schub von 4 Stunden am ersten Tag, dem ersten Mal, bei dem meistens die Regeln gelesen werden, um die niedrigste PCI-Konformität zu erreichen)
  • In keiner Weise ist ein PCI-Konformitätsaufkleber ein "Ich bin nicht hackbares Etikett". Dies bedeutet nur, dass Sie ein Minimum an Maßnahmen ergriffen haben, um die Kartendaten zu schützen. In mancher Hinsicht ist es nicht einmal "genug", sondern eher ein Ausgangspunkt.
  • Es gibt verschiedene Stufen der PCI-Selbstzufriedenheit, aber die niedrigsten Stufen (für Websites, die die Transaktion an einen Dritten wie Paypal übergeben, um die eigentliche Datenerfassung und -verarbeitung durchzuführen) können kein SHA-1-SSL-Zertifikat verwenden selbst.
  • Alle mir bekannten Zahlungsgateways (wie PayPal), mit denen Sie Transaktionsdetails (nicht nur eine Schaltfläche "Jetzt kaufen") eingeben können, müssen die niedrigste Stufe der PCI-Konformität aufweisen.

Hinweis Beim Schreiben dieser Antwort und mit Kommentaren mussten wesentliche Änderungen an der Antwort vorgenommen werden. Kurz gesagt, die Verwendung von SHA-1-Hashes in einer PCI-kompatiblen Einstellung ist sehr unklar und basiert auf einem Netz unterschiedlicher Regeln, um dies zu ermöglichen. Obwohl dies derzeit in aktuellen PCI-DSS-Setups nicht verboten ist, wird es bald so sein. Derzeit ist dies nur zulässig, wenn eine Kombination von Klauseln ungerade / alte Client- (Browser-) Konfigurationen unterstützt. Vor allem die "Older SSL" -Klauseln, die unsichere SSL-Setups mit anderen Sicherheitsmaßnahmen ermöglichen, um ältere Browser (z. B. IE6) zu unterstützen. Diese Antwort hat sich stark verändert, um dies widerzuspiegeln. Die folgenden Anmerkungen stammen aus der ursprünglichen Antwort, zeigen jedoch, IMO, einen wichtigen Prozess.

Hinweis Nach einigen Recherchen ist diese Antwort, die hauptsächlich auf der Tatsache beruht, dass sie sich überhaupt nicht um die Durchführung des PCI-Audits gekümmert haben, größtenteils falsch . Sie hätten das PCI-Audit abschließen können. Davon abgesehen ist die allgemeine Idee immer noch wahr. Wenn sie das SHA-1-Problem "umgangen" haben, anstatt nur auf "etwas anderes" zu aktualisieren, dann steht meine Meinung. Beachten Sie, dass das Zulassen von SHA-1 für "alternde, alte und ältere" Systeme gedacht ist und nicht als fortlaufende Praxis. Sie müssen jetzt (heute) einen Migrationsplan haben, um das Audit zu bestehen.

Weitere Hinweise Ich muss dies ansprechen und diese Antwort bereinigen, aber laut "den Dokumenten" gibt es einige allgemeine Regeln. Erste ältere Sites können SHA1 weiterhin als Verschlüsselungs- oder Signaturoption anbieten, jedoch nur, wenn auch andere, stärkere Optionen verfügbar sind. Neue Websites können SHA-1 überhaupt nicht anbieten. Alle Sites, die SHA-1 verwenden, müssen über einen Migrationsplan verfügen. (AVS sollte automatisch ausfallen, aber Sie können eine Ausnahme bekommen). Schließlich gibt es ein klares Stichtag für SHA-1 (obwohl es noch einmal verschoben werden kann)

Das hier verlinkte PCI-Dokument bezieht sich eher auf POS-Terminals als auf Website-Transaktionen, für die etwas höhere Sicherheitsanforderungen gelten.Derzeit gibt es aus irgendeinem Grund noch eine Ausnahme für die Verwendung von SHA-1 für TLS-Zertifikatsignaturen im PCI-DSS-Standard, obwohl ich hoffe, dass dies in der nächsten Revision entfernt wurde.Diese Ausnahme gilt aus gutem Grund nicht für physische Terminals!
Mein Fehler, ich weiß, dass es immer als nicht erlaubt markiert wird (es ist standardmäßig in Apache med_ssl aktiviert). Lassen Sie mich sehen, ob ich Dokumentation finden kann.
Ich werde hier ein bisschen Verwirrung zugeben.Es scheint, dass SHA-1-Hashes in einigen Kontexten zwar zulässig sind, aber keine bewährte Methode sind und daher immer markiert werden (für mich mit meinen Einstellungen).Unter bestimmten Umständen können Sie SHA-1 weiterhin verwenden.
Ja, es ist sicherlich nicht ideal, aber in diesem Fall ist es kein automatischer Fehler - nein, bei weitem nicht so schlimm wie das Offenlegen von PAN-Daten oder ähnlichem
Ab der aktuellen Version dürfen Sie SHA-1 nur verwenden, wenn Sie über einen Migrationsplan verfügen, und Ihre Zertifikate laufen vor Juni 2017 ab. Wenn Ihre Zertifikate nach Juni 2017 ablaufen, dürfen Sie SHA-1 nicht verwendenüberhaupt.Standardmäßig ist die Verwendung des von SHA-1 signierten Zertifikats ein automatischer Fehler (des AVS), Ausnahmen sind jedoch zulässig, es sei denn, dies ist die einzige verfügbare Option.Bah, es ist alles ohne Grund kompliziert.
Es ist alles sehr verwirrend.In Version 3.2 des PCI-DSS sind SHA-1-Zertifikate nicht ausdrücklich ausgeschlossen, implizieren jedoch, dass sie unter "SSL / Early TLS" fallen.Es ist jedoch durchaus möglich, TLSv1.2 mit einem mit SHA-1 signierten Zertifikat zu verwenden. In diesem Fall könnte die Identität des Zertifikats verdächtig sein, die bereitgestellte Verschlüsselung wäre jedoch stark (z. B. könnte nur die Person, die es generiert hat, Daten dekodierendamit verschlüsselt, aber Sie können nicht beweisen, wer es sicher generiert hat).Dies unterscheidet sich vom POI-Standard, in dem Signaturalgorithmen ausdrücklich erwähnt werden.
Anstatt Notizen über die Unrichtigkeit Ihrer ursprünglichen Aussage in Ihrer Antwort zu haben, aktualisieren Sie bitte einfach Ihre Antwort im großen Stil und korrigieren Sie die fehlerhaften Aussagen direkt.
#3
+15
Matthew
2016-05-26 14:40:23 UTC
view on stackexchange narkive permalink

Dies bedeutet, dass das von der Site verwendete Zertifikat einen veralteten Signaturalgorithmus verwendet, um die Zertifikatidentität zu bestätigen. Google zielt seit einigen Jahren aggressiv auf SHA-1-Signaturen für Site-Zertifikate ab, da es einige theoretische Angriffe gibt, die dazu führen könnten, dass ein betrügerisches Zertifikat eine gültige Signatur hat, obwohl es keine Beweise dafür gibt, dass dies in freier Wildbahn geschieht. Darüber hinaus würde die Angriffsmethode einen erheblichen Aufwand erfordern und ist für andere als wirklich hochwertige Ziele wahrscheinlich nicht rentabel.

Der Hauptgrund für die Warnungen besteht darin, Websitebesitzer zu ermutigen, auf sicherere Aktualisierungen zu aktualisieren Signaturmethoden, die normalerweise kostenlos oder kostengünstig bei ihren Zertifikatsanbietern erhältlich sind, aber einen längeren Schutz bieten, wenn sich die Computertechnologie verbessert - dieser Prozess dauerte im Fall von MD5, dem Vorgänger von SHA-1, 16 Jahre. Das Zertifikat selbst ist nicht schwächer als jedes andere - tatsächlich ist es technisch möglich, dass ein einzelnes Zertifikat sowohl mit der SHA-1- als auch mit der SHA-256-Methode signiert wird. Möglicherweise enthält das Zertifikat andere Schwachstellen, die anhand der bereitgestellten Screenshots jedoch nicht erkennbar sind.

Insgesamt deutet dies auf einen leicht mangelhaften Sicherheitsansatz der Website hin, bedeutet jedoch nicht, dass Ihre Karte vorhanden ist Details werden wahrscheinlich während des Transports gestohlen. Es kann sinnvoll sein, sich an das Unternehmen zu wenden, um auf diesen Fehler hinzuweisen, und vorzuschlagen, das Zertifikat zu aktualisieren, insbesondere wenn Sie regelmäßig Einkäufe von dort tätigen müssen.

Siehe auch https://konklone.com / post / warum-google-eilt-das-web-um-sha-1 zu töten für weitere Details dazu.

Ist "in the wild" ein notwendiges Qualifikationsmerkmal?Gibt es bekannte Beweise dafür, dass dies sozusagen außerhalb der Wildnis geschieht?
Es gab unbegründete Gerüchte, aber nichts Festes - solche Angriffe wären naturgemäß sehr geheim.Soweit ich weiß, hat die NSA ein Setup, mit dem gefälschte Zertifikate in Stunden erstellt werden, aber ich würde es für unwahrscheinlich halten!
OK, ich denke die Frage ist, müssen sich normale Menschen in normalen Situationen tatsächlich darum kümmern?Es ist nicht wie bei MD5, wo ein Angriff tatsächlich demonstriert wurde, und es ist nicht so, dass sich jeder mit * jeder * Website, die er besucht, Sorgen um die NSA macht.Wenn StackOverflow SHA-1 verwendet, sollten * alle * ausflippen, wenn die NSA SHA-1 gebrochen hat und sehen könnte, was sie auf StackOverflow tun?Seien wir ehrlich: nicht wirklich.Vielleicht werden 0,01% der Benutzer aus irgendeinem Grund ausflippen, aber was ist mit dem Rest?Ich würde sogar * hoffen *, dass sie ihre Ressourcen für mich verschwenden ...
... und SHA-1 wäre in diesem Fall ausreichend.Wenn mein Nachbar in einer Woche SHA-1 brechen und meine Anmeldeinformationen sehen könnte, * könnte * es mich interessieren.Aber wirklich, wenn die einzige Bedrohung eine riesige Organisation wie die NSA ist, ist SHA-1 gut genug und muss nicht verboten werden ...
Genau.Es ist unwahrscheinlich, dass das Zertifikat bedeutet, dass Daten während der Übertragung gestohlen werden, aber es besteht die Möglichkeit, aber es ist viel wahrscheinlicher, dass eine Site, die dies nicht aktualisiert hat, auch andere Funktionen nicht aktualisiert hat, was zu Problemen führen kann - mithilfe von SHA-1Hashing für Passwörter zum Beispiel, was völlig inakzeptabel ist.
@mehrdad Nicht ganz zu Ihrem zweiten Kommentar.Es wird veraltet, um sicherzustellen, dass es vollständig entfernt wird, bevor Ihre Nachbarn diese Angriffe ausführen können.Dieser Prozess dauert lange, daher ist es gut, ihn zu starten, bevor Probleme leicht ausgenutzt werden können. Wenn der Exploit also trivial ist, verwendet niemand das fehlerhafte System.
Sicher veraltet - ich habe kein Problem mit dem alten Ansatz, ihre Symbole auf etwas anderes als das grüne "sicher" herabzusetzen.Aber sie aggressiv mit * rot * als weniger sicher als normales HTTP zu markieren, scheint nur unehrlich, wenn wir nicht einmal sicher sind, dass ein einziger Fall von SHA-1 jemals gebrochen wurde, geschweige denn einer in freier Wildbahn...
Sie haben geschrieben * "Tatsächlich ist es technisch möglich, dass ein einzelnes Zertifikat sowohl mit der SHA-1- als auch mit der SHA-256-Methode signiert wird" *.Huh?Wie das?Sprechen wir über x509-Zertifikate?Sie können nur ein Hash- / Signatur-Tag haben, oder?
#4
+1
Engineer
2016-05-27 09:21:55 UTC
view on stackexchange narkive permalink

Andere haben die Probleme beim Abrufen der Karteninformationen auf die Website festgestellt, aber Sie müssen auch darüber nachdenken, wie sie diese Informationen intern verarbeiten. Ich habe einmal bei einem Dotcom gearbeitet, der Kreditkarteninformationen in Klartext in unserer Datenbank gespeichert hat. Jeder, der Zugriff auf Kundeninformationen hat, kann diese sehen.
Lazy-Zertifizierung ist nur die Spitze des Eisbergs, IMO.

#5
-1
benJephunneh
2016-05-30 09:02:17 UTC
view on stackexchange narkive permalink

Abgesehen von der normalen Art von Philip Dick-Paranoia, die Ihnen sagt, dass nichts so ist, wie es scheint, kann nichts daraus abgeleitet werden, dass Chrome Sie darauf aufmerksam gemacht hat, dass eine Site SHA-1 für die Signatur ihres Zertifikats verwendet . Google sagte, dass sie dies bereits 2014 tun würden. Sie könnten mit Chrome auf Amazon.com sein. Tatsache ist, dass Chrome eine Warnung ausgibt, wenn Amazon noch nicht mit der Verschlüsselung der Signaturen seiner Zertifikate mit SHA-2 begonnen hat.

Könnte es einen Grund für die Ablehnung geben?Stimmt etwas nicht?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...