Privacy-Handbuch

Mirror von awxcnx.de, Stand: 2013-05-13
Eine aktuelle Version gibt es hier: privacy-handbuch.de oder bei Wikibooks

Ein paar kleine Erweiterungen für Firefox, welche die Vertrauenswürdigkeit der Zertifikate bei der Nutzung von HTTPS-ver­schlüsselten Verbindungen deutlich erhöhen können.

HTTPS-Everywhere kann das SSL-Obervatory der EFF.org nutzen. Wenn man diese Funktion in den Einstellungen des Add-on aktiviert, werden die SSL-Zertifikate der besuchten Webseiten an das SSL-Observatory gesendet. Ist das Zertifikat nicht ok, wird man ab Version 3.0 gewarnt. Es wird eine Datenbasis von weltweit verteilten Nutzern aufgebaut. (Meine Empfehlung!)
SSL-Observatory aktivieren

Certificates Patrol speichert Informationen zu den Zertifikaten einer Website in einer lokalen Datenbank. Das Add-on eignet sich damit vor allem für Surfer, die dem SSL-Observatory nicht trauen und keine Informationen an externe Server senden wollen. Allerdings ist die Datenbank kleiner und beschränkt sich auf Webseiten, die man selbst bereits besucht hat.

Beim Erstbesuch wird mit einem Informationsbalken am oberen Seitenrand auf ein neues Zertifikat hingewiesen. Man kann es bei Bedarf überprüfen. Am einfachsten kann man ein SSL-Zertifikat prüfen, wenn die Fingerprints vom Webmaster veröffentlicht wurden.

Hat sich das Zertifikat bei späteren Besuchen der Website geändert, zeigt das Add-on Informationen oder Warnungen zum Zertifikatswechsel. Im Gegensatz zu HTTPS-Everywhere und Perspektives werden die Zertifikate nur mit der eigenen lokalen Datenbank vergleichen.
Certificates Patrol
Der Gefahrenwert wird dabei anhand einer Heuristik ermittelt. Im Beispiel wurde überraschend ein neues Zertifikat für die Webseite der EFF gefunden, obwohl das alte Zertifikat noch lange gültig gewesen wäre. Außerdem wurde die Certification Authority gewechselt.

Der Nutzer muss bei Warnungen das neue Zertifikat bestätigen, da es ein Hinweis auf einen Angriff sein. Wie kann man prüfen, ob der Zertifikatswechsel ok ist?
  1. Häufig veröffentlicht der Webmaster der Seite eine Information zum Zertifikatswechsel im Blog mit den Informationen zum neuen Zertifikat.
  2. Man kann prüfen, welches Zertifikat andere Teilnehmer im Netz sehen, beispielsweise mit dem Add-on Perspectives (siehe untern). Das Projekt bietet auch eine Demo-Webseite, wo man die Informationen der Notary Server abfragen kann. Für die Webseite der EFF konnte ich dort folgendes Ergebnis finden:
    Perspektives Test
    Vor 25 Tagen wurde das Zertifikat gewechselt. Das neue Zertifikat ist also Ok.
Perspectives ist das älteste Add-on in dieser Liste. Es vergleicht die SSL-Zertifikate mit den bei Notary Servern gespeicherten Zertifikaten. Die Datenbank mit Zertifikaten wird von den Notary-Servern erstellt. Wenn alle Notary-Server das gleiche Zertifikat über einen längeren Zeitraum sehen, ist es wahrscheinlich gültig. Leider gibt es noch nicht viele, international verteilte Notary Server. Alle standardmäßig im Add-on enthaltenen Server werden vom MIT bereit gestellt.

Aufgrund der nicht immer eindeutigen Resultate und der Performance der Notary Server ist Perspectives nicht unbedingt für eine ständige Validierung aller SSL-Zertifikate geeignet. Der Server awxcnx.de ist im Moment nur bei der Hälfte der Notary Server bekannt. Das führt zu einem Fehler bei Perspectives, obwohl eigentlich alles Ok ist (wie man sieht):
Notary Result für awxcnx.de
Ich empfehle daher die Abfrage der Notarys bei Bedarf (wenn man ein Zertifikat genauer prüfen möchte). Dafür sind folgende Einstellungen in den Preferences zu setzen:
Perspectives Konfiguration
Zukünftig kann man mit einem Klick der rechten Maustatste auf das Perspectives-Symbol in der Statusleiste einen Check des Zertifikates der Webseite erzwingen und sich die Notary Results anzeigen lassen:
Persektives Menü
Hinweis: Perspectives funktioniert nicht mit den kostenfreien Mix-Kaskaden von JonDonym, da die Notary Servern üblicherweise nur auf Port 8080 erreichbar sind.

Convergence (Beta): Während Certificate Patrol und Perspectives auf dem alten Zertifikats­system aufsetzen und es etwas verbessern, vollzieht Convergence.io einen radikalen Bruch. Das Add-on ersetzt die Validierung der Zertifikate im Firefox vollständig durch ein eigenes System. Dabei werden ähnlich wie bei Perspectives die Beobachtungen von Notary Server genutzt und mit dem aktuellen Zertifikat verglichen.

Ich habe noch keine Erfahrungen mit Convergence.io.
Lizenz: Public Domain | Quelle: awxcnx.de | gespiegelt von almnet.de | Impressum