AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi HTTPS und Zertifikate - wie mache ich es richtg?

HTTPS und Zertifikate - wie mache ich es richtg?

Ein Thema von Mavarik · begonnen am 9. Jun 2021 · letzter Beitrag vom 9. Jun 2021
Antwort Antwort
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.024 Beiträge
 
Delphi 10.3 Rio
 
#1

HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 09:11
Hallo Zusammen!

HTTPS und die dadurch gegebene Verschlüsselung des Datenverkehrs ist ja gut und schon, aber nur, wenn man auch sicher gehen kann, das es auch funktioniert.

Vielleicht mache ich etwas falsch oder habe es nicht verstanden...

Ich verbinde mich mit der nativen HTTP-Komponete zu einem REST Service. Im OnValidateCertificate prüfe ich, ob es überhaupt das richtige Zertifikat ist. (Sonst macht das ganze keinen Sinn)

Vom Zertifikat habe ich bisher immer die URL und den Issuer geprüft. (z.B. Let's Entcrypt)
Leider musste ich feststellen, das wenn auf dem Kundenrechner Kaspersky installiert ist, der Certificate.Issuer "Kaspersky" lautet.

Eigentlich sagt mir das doch das Kaspersky hier ein Man-In-The-Middle spielt, oder? In diesem Fall kann es doch nicht mehr sicher sein...

Übersehe ich etwas oder mache ich etwas falsch?

Grüsse
Mavarik
  Mit Zitat antworten Zitat
Benutzerbild von Union
Union

Registriert seit: 18. Mär 2004
Ort: Luxembourg
3.347 Beiträge
 
Delphi 7 Enterprise
 
#2

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 09:25
Kaspersky agiert hier als Proxy, deshalb sieht der Client das lokale Zertifikat und nicht dasjenige des Servers. Siehe z.B.https://hex64.net/blog/browsing-erro...-virus-update/
Ibi fas ubi proxima merces
sudo /Developer/Library/uninstall-devtools --mode=all
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.024 Beiträge
 
Delphi 10.3 Rio
 
#3

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 09:33
Kaspersky agiert hier als Proxy, deshalb sieht der Client das lokale Zertifikat und nicht dasjenige des Servers. Siehe z.B.https://hex64.net/blog/browsing-erro...-virus-update/
Ja ok, aber dadurch ist doch die Verschlüsselung nicht mehr sicher, oder? Nehmen wir mal an Kaspersky hat ne Backdoor und übermittelt die Daten and die NSA...
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
5.742 Beiträge
 
Delphi 10 Seattle Enterprise
 
#4

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 09:33
Ja, im Endeffekt ist das "Man in the Middle" was Kaspersky da macht. Der Grund ist, dass sich somit der gesamte HTTPS-Traffic vom Virenscannern prüfen lässt bevor es an die Anwendung auf deinem PC weiterkommt. Ob das jetzt eine gute oder schlechte Sache ist kann ich nicht beurteilen, damit kenne ich mich nicht aus. Ich glaube mein persönlicher Geschmack wäre es nicht. Wenn du jetzt einem Virenscanner hast dem du nicht traust macht das natürlich keinen Sinn 😉

Falls du es deaktiveren möchtest:
Zitat:
In order to disable this functionality you have to go into Settings, select “Additional” on the left side, then click “Network.” There you will see a section called “Encryption connection scanning” where you need to choose “Do not scan encrypted connections.”
Quelle

PS: Waren Kaspersky nicht die, welche die ShadowBrokers der NSA haben auffliegen lassen? Ich glaube die beiden werden keine Freunde mehr.
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.024 Beiträge
 
Delphi 10.3 Rio
 
#5

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 09:48
Ja, im Endeffekt ist das "Man in the Middle" was Kaspersky da macht. Der Grund ist, dass sich somit der gesamte HTTPS-Traffic vom Virenscannern prüfen lässt bevor es an die Anwendung auf deinem PC weiterkommt. Ob das jetzt eine gute oder schlechte Sache ist kann ich nicht beurteilen, damit kenne ich mich nicht aus. Ich glaube mein persönlicher Geschmack wäre es nicht. Wenn du jetzt einem Virenscanner hast dem du nicht traust macht das natürlich keinen Sinn 😉
Schon klar, aber das Problem ist ein anderes...

Kunde: Ich kann die Software nicht installieren, da kommt immer eine Fehlermeldung: Zertifikat ungültig!
Ich: Hab Sie gelesen, dass es an Ihrem Virenscanner liegt? Schalten Sie die HTTP Kontrolle bitte ab.
Kunde: Nein, das mache ich auf keinen Fall das ist mir zu unsicher.
Ich: Sorry dann funktioniert die Installation nicht.
Kunde: Dann gebe ich die Software zurück, bitte erstatten Sie mir sofort mein Geld.
Ich: Hier ist ein neuer Installer. (Der akzeptiert auch Kaspersky-Zertifikate)
Kunde: Na geht doch...

WTF...
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.286 Beiträge
 
Delphi 11 Alexandria
 
#6

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 10:15
Man könnte auch bei einem ungültigen Zertifikat den Kunden darauf hinweisen, ihm aber die Möglichkeit bieten, es auf eigene Gefahr trotzdem zu akzeptieren. Wenn man sehr freundlich ist, kann man auch einen Abschnitt in die Doku schreiben, der den Sachverhalt erklärt.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.024 Beiträge
 
Delphi 10.3 Rio
 
#7

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 10:40
Man könnte auch bei einem ungültigen Zertifikat den Kunden darauf hinweisen, ihm aber die Möglichkeit bieten, es auf eigene Gefahr trotzdem zu akzeptieren. Wenn man sehr freundlich ist, kann man auch einen Abschnitt in die Doku schreiben, der den Sachverhalt erklärt.
Bei jeder offenen Schnittstelle läuft man Gefahr, dass diese Missbraucht wird.
Warum soll man eine SQL Server nicht öffentlich ins Netz hängen? Damit keiner damit Mist baut.
Wenn ich aber einen REST-Service für die gleichen Funktionalitäten einsetze, möchte ich auch nicht, dass ein 3. den Traffic abhört und dann die Schnittstelle nutzt um genau das gleiche zu machen.

Jetzt könnte man sagen, Kaspersky kann man vertrauen, aber wie weit soll man gehen... Fiddler sicherlich nicht.

Mavarik
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
5.742 Beiträge
 
Delphi 10 Seattle Enterprise
 
#8

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 11:00
Ich verstehe noch nicht so ganz weshalb der gute Mann normal im Internetz-Surfen kann, aber deine Anwendung streikt. Hast du im Event-Handler hartkodiert dass das Zertifikat von "Lets's Encrypt" ausgestellt sein muss? Ich hätte mich auf den Boolean-Parameter "Accepted" verlassen, denn ob das ok ist oder nicht (z.B. abgelaufen oder dem Zertifikat vertraut das System nicht) prüft ja das Betriebssystem.
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
661 Beiträge
 
FreePascal / Lazarus
 
#9

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 11:07
Das Betriebssystem prüft nur, ob die Kommunikation verschlüsselt ist.

Erst mit Certificate Pinning stellt man sicher, dass man mit der bekannten Gegenseite kommuniziert. Da gibt es auf diversen Ebenen Möglichkeiten; dass es ein Zertifikat von Lets Encrypt sein muss, kann man etwa auch per DNS einstellen, dann prüft es das Betriebssystem auc.

Wenn man niemanden auf der Leitung schnüffeln haben möchte, ist ein Pinning auf ein konkretes Zertifikat hilfreich. Sei es um Reverse Engineering zu erschweren oder tatsächlich Daten zu schützen.
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
5.742 Beiträge
 
Delphi 10 Seattle Enterprise
 
#10

AW: HTTPS und Zertifikate - wie mache ich es richtg?

  Alt 9. Jun 2021, 11:19
Danke für das Fachwort. Wenn man in der Suchmaschine seines Vertrauens nach "Certificate Pinning" sucht findet man ja doch hilfreiche Infos und Meinungen von verschiedenen Seiten. Seinen persönlichen Schluss muss man wohl selber ziehen.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf