Ein paar kleine Erweiterungen für Firefox, welche die Vertrauenswürdigkeit der Zertifikate bei der Nutzung von HTTPS-verschlüsselten Verbindungen deutlich erhöhen können.
DNSSEC/TLSA-Validator überprüft die Zertifikate einer Webseite anhand der Fingerprints, die vom Webmaster im TLSA-Record in DNSSEC hinterlegt wurden. Der verwendete Standard DANE wurde im Januar 2014 verabschiedet und einige Anbieter unterstützen diese Verifikation, die unabhängig von einer kompromittierbaren CA arbeitet und auch selbstsignierte Zertifikate validieren kann.
Es werden zwei zusätzliche Icons in der Adresszeile angezegt. Normalerweise wird man folgendes Bild mit zwei grauen Icons sehen, weil die Webseite DANE noch nicht für die Valdierung der Zertifikate unterstützt:
Wenn ein TLSA-Record vom Webmaster im DNS hinterlegt wurde, dann sieht man zwei grüne Icons, wenn alles Ok ist. Wenn eines der beiden Icons rot ist, dann läuft etwas schief und man sollte der SSL-Verschlüsselung NICHT vertrauen.
Standardmäßig zeigt das Add-on das Ergebnis der Validierung nur in der Adressleiste an. Die Webseite wird trotzdem geladen. Unter Umständen könnten damit bereits Daten komprottiert sein. Man kann in den Einstellungen des Add-ons den Sicherheitslevel verschärfen, indem man jeden Request validiert und bei Problemen die Verbindung abbricht. Dann zeigt das Add-on eine Warnung, bevor die Webseite geladen wird. (Man muss auf "Ok" klicken um das Laden abzubrechen!)
Im vorliegenden Fehlerbeispiel wurde das SSL-Zertifikate für www.bmi.bund.de erneuert und die Anpassung des DANE/TLSA Record im DNS vergessen. Auch das passiert gelegentlich, nicht jeder Fehler ist ein Angriff auf die Verschlüsselung.
Unbedingt: DNS-Server Einstellungen TESTEN. Wenn nötig kann man in den Einstellungen des Add-on einen anderen DNS-Server wählen, der DNSSEC unterstützt.
HTTPSEverywhere kann das SSL-Obervatory der EFF.org nutzen. Wenn man diese Funktion in den Einstellungen des Add-on aktiviert, werden die SSL-Zertifikate der besuchten Webseiten an das SSL-Observatory gesendet. Ist das Zertifikat nicht ok, wird man gewarnt. Es wird eine Datenbasis von weltweit verteilten Nutzern aufgebaut.
HTTPSEverywhere ignoriert die Proxy-Einstellungen von Firefox. Wenn man einen Proxy konfiguriert hat, dann muss man unter "about:config" auch die folgenden Einstellungen für HTTPSEverywhere per Hand anpassen:
extensions.https_everywhere._observatory.proxy_type = direct | socks | http
extensions.https_everywhere._observatory.proxy_host = <IP oder Host des Proxy>
extensions.https_everywhere._observatory.proxy_port = <Port des Proxy> Hinweis: Im TorBrowserBundle muss man sich nicht darum kümmern, da das Add-on fester Bestandteil des TorBrowsers ist und die Proxy-Einstellungen konfiguriert sind.
Perspectives vergleicht die SSL-Zertifikate mit den bei Notary Servern gespeicherten Zertifikaten. Die Datenbank mit Zertifikaten wird von den Notary-Servern erstellt. Wenn alle Notary-Server das gleiche Zertifikat über einen längeren Zeitraum sehen, ist es wahrscheinlich gültig. Leider gibt es noch nicht viele, international verteilte Notary Server. Alle standardmäßig im Add-on enthaltenen Server werden vom MIT bereit gestellt.
Aufgrund der nicht immer eindeutigen Resultate und der Performance der Notary Server ist Perspectives nicht unbedingt für eine ständige Validierung aller SSL-Zertifikate geeignet. Der Server awxcnx.de ist im Moment nur bei der Hälfte der Notary Server bekannt. Das führt zu einem Fehler bei Perspectives, obwohl eigentlich alles Ok ist (wie man sieht):
Ich empfehle daher die Abfrage der Notarys bei Bedarf (wenn man ein Zertifikat genauer prüfen möchte). Dafür sind folgende Einstellungen in den Preferences zu setzen:
Zukünftig kann man mit einem Klick der rechten Maustatste auf das Perspectives-Symbol in der Statusleiste einen Check des Zertifikates der Webseite erzwingen und sich die Notary Results anzeigen lassen:
Hinweis: Perspectives funktioniert nicht mit den kostenfreien Mix-Kaskaden von JonDonym, da die Notary Servern üblicherweise nur auf Port 8080 erreichbar sind.
DNSSEC/TLSA-Validator überprüft die Zertifikate einer Webseite anhand der Fingerprints, die vom Webmaster im TLSA-Record in DNSSEC hinterlegt wurden. Der verwendete Standard DANE wurde im Januar 2014 verabschiedet und einige Anbieter unterstützen diese Verifikation, die unabhängig von einer kompromittierbaren CA arbeitet und auch selbstsignierte Zertifikate validieren kann.
Es werden zwei zusätzliche Icons in der Adresszeile angezegt. Normalerweise wird man folgendes Bild mit zwei grauen Icons sehen, weil die Webseite DANE noch nicht für die Valdierung der Zertifikate unterstützt:
Unbedingt: DNS-Server Einstellungen TESTEN. Wenn nötig kann man in den Einstellungen des Add-on einen anderen DNS-Server wählen, der DNSSEC unterstützt.
HTTPSEverywhere kann das SSL-Obervatory der EFF.org nutzen. Wenn man diese Funktion in den Einstellungen des Add-on aktiviert, werden die SSL-Zertifikate der besuchten Webseiten an das SSL-Observatory gesendet. Ist das Zertifikat nicht ok, wird man gewarnt. Es wird eine Datenbasis von weltweit verteilten Nutzern aufgebaut.
extensions.https_everywhere._observatory.proxy_host = <IP oder Host des Proxy>
extensions.https_everywhere._observatory.proxy_port = <Port des Proxy> Hinweis: Im TorBrowserBundle muss man sich nicht darum kümmern, da das Add-on fester Bestandteil des TorBrowsers ist und die Proxy-Einstellungen konfiguriert sind.
Perspectives vergleicht die SSL-Zertifikate mit den bei Notary Servern gespeicherten Zertifikaten. Die Datenbank mit Zertifikaten wird von den Notary-Servern erstellt. Wenn alle Notary-Server das gleiche Zertifikat über einen längeren Zeitraum sehen, ist es wahrscheinlich gültig. Leider gibt es noch nicht viele, international verteilte Notary Server. Alle standardmäßig im Add-on enthaltenen Server werden vom MIT bereit gestellt.
Aufgrund der nicht immer eindeutigen Resultate und der Performance der Notary Server ist Perspectives nicht unbedingt für eine ständige Validierung aller SSL-Zertifikate geeignet. Der Server awxcnx.de ist im Moment nur bei der Hälfte der Notary Server bekannt. Das führt zu einem Fehler bei Perspectives, obwohl eigentlich alles Ok ist (wie man sieht):
Lizenz: Public Domain