Sicherheit in Android erhöhen durch Abschalten von Root CAs
TLS ist nur so sicher wie die Gesamtheit der Root-CAs, der das eigene Gerät vertraut. Immer wieder ist es vorgekommen, dass irgendwelche zwielichtigen CAs Zertifikate ausgestellt haben, die sich nicht hätten ausstellen sollen. Der Browser behauptet dann sogar noch, es würde sich um eine verifizierte, sichere Webseite handeln; ist sie aber nicht.
Das Problem ergibt aus zwei Teilaspekten:
Leider melden die meisten Apps bei einem ungültigen Zertifikat (durch deaktivierte zugehörige CA) meist nur "Keine Internetverbindung". Allein der DB-Navigator der Deutschen Bahn meldet einen "Zertifikatsfehler".
Im Folgende liste ich alle CAs auf, die ich bei mir benötige. Einige CAs bieten eine ganze Liste an Zertifikaten. Um es nicht unnötig kompliziert zu machen, aktiviere ich alle Zertifikate je CA, wenn ich auch zunächst nur eines von dieser CA benötige. Sollte die CA nicht mehr vertrauenswürdig sein, ist es letztlich egal, durch welches ihrer Zertifikate.
Aktiviert:
Alle anderen habe ich deaktiviert.
Das Problem ergibt aus zwei Teilaspekten:
- Browser und Betriebssysteme haben schon eine ganze lange Liste an Root-CAs eingebaut und vertrauen ihnen damit ohne Nachfrage beim Nutzer
- Es reicht aus, wenn nur ein einziger Anbieter in der Liste kompromittiert und nicht vertrauenswürdig ist, um einen Weg an all den anderen vertrauenswürdigen CAs vorbei zu bieten.
Leider melden die meisten Apps bei einem ungültigen Zertifikat (durch deaktivierte zugehörige CA) meist nur "Keine Internetverbindung". Allein der DB-Navigator der Deutschen Bahn meldet einen "Zertifikatsfehler".
Im Folgende liste ich alle CAs auf, die ich bei mir benötige. Einige CAs bieten eine ganze Liste an Zertifikaten. Um es nicht unnötig kompliziert zu machen, aktiviere ich alle Zertifikate je CA, wenn ich auch zunächst nur eines von dieser CA benötige. Sollte die CA nicht mehr vertrauenswürdig sein, ist es letztlich egal, durch welches ihrer Zertifikate.
Aktiviert:
Baltimore |
COMODO CA Limited |
D-Trust GmbH |
Deutsche Telekom AG |
DigiCert Inc |
Digital SIgnature Trust |
GeoTrust Inc. |
GlobalSign |
GoDaddy.com (für Drive Now App, obwohl drive-now.com Geotrust verwendet) |
IdenTrust |
Starfield Technologies, Inc. |
Swisscom |
T-Systems Enterprise Services GmbH |
thawte, Inc. |
VeriSign, Inc. |
Alle anderen habe ich deaktiviert.
superwallah - 8. Apr, 21:16
0 Kommentare - Kommentar verfassen - 0 Trackbacks