Samstag, 8. April 2017

Sicherheit in Android erhöhen durch Abschalten von Root CAs

TLS ist nur so sicher wie die Gesamtheit der Root-CAs, der das eigene Gerät vertraut. Immer wieder ist es vorgekommen, dass irgendwelche zwielichtigen CAs Zertifikate ausgestellt haben, die sich nicht hätten ausstellen sollen. Der Browser behauptet dann sogar noch, es würde sich um eine verifizierte, sichere Webseite handeln; ist sie aber nicht.

Das Problem ergibt aus zwei Teilaspekten:
  1. Browser und Betriebssysteme haben schon eine ganze lange Liste an Root-CAs eingebaut und vertrauen ihnen damit ohne Nachfrage beim Nutzer
  2. Es reicht aus, wenn nur ein einziger Anbieter in der Liste kompromittiert und nicht vertrauenswürdig ist, um einen Weg an all den anderen vertrauenswürdigen CAs vorbei zu bieten.
Aus diesem Grund deaktiviere ich in Android unter Einstellungen > Sicherheit > Vertrauenswürdige Anmeldedaten alle CAs und schalte nur die ein, die von Webseiten oder Apps benötigt werden.

Leider melden die meisten Apps bei einem ungültigen Zertifikat (durch deaktivierte zugehörige CA) meist nur "Keine Internetverbindung". Allein der DB-Navigator der Deutschen Bahn meldet einen "Zertifikatsfehler".

Im Folgende liste ich alle CAs auf, die ich bei mir benötige. Einige CAs bieten eine ganze Liste an Zertifikaten. Um es nicht unnötig kompliziert zu machen, aktiviere ich alle Zertifikate je CA, wenn ich auch zunächst nur eines von dieser CA benötige. Sollte die CA nicht mehr vertrauenswürdig sein, ist es letztlich egal, durch welches ihrer Zertifikate.

Aktiviert:
Baltimore
COMODO CA Limited
D-Trust GmbH
Deutsche Telekom AG
DigiCert Inc
Digital SIgnature Trust
GeoTrust Inc.
GlobalSign
GoDaddy.com (für Drive Now App, obwohl drive-now.com Geotrust verwendet)
IdenTrust
Starfield Technologies, Inc.
Swisscom
T-Systems Enterprise Services GmbH
thawte, Inc.
VeriSign, Inc.

Alle anderen habe ich deaktiviert.

Trackback URL:
https://superwallah.twoday.net/stories/1022613697/modTrackback

Superwallah - IT, Innovation, Indien

Globaler Cyber-Fortschritt ist heute

Suche

 

ich

Du bist nicht angemeldet.

Wer bist Du?

Sag es mir. Und hinterlass einen Kommentar nach Lesen eines Eintrag!

Aktuelle Beiträge

Methode zur Organisation...
Ich habe auf dem 34C3 eine interessante Methode kennengelernt,...
superwallah - 3. Jan, 22:11
Filofax Personal Abmessungen
Wer eigene Filofax-Einlagen basteln möchte, muss sich...
superwallah - 3. Jan, 15:01
Sicherheit in Android...
TLS ist nur so sicher wie die Gesamtheit der Root-CAs,...
superwallah - 13. Jun, 21:30
Den richtigen Co-Working-Space...
Die moderne Welt des Arbeitens liegt im Teilen der...
superwallah - 24. Mai, 18:16
Adressen und Kalender...
Wer meinem Blog folgt, weiss, dass ich mich konsequent...
superwallah - 23. Mai, 09:36

Meine Gadgets

Gesehene Filme

Zähler

Web Counter by www.webcounter.goweb.de
Web Counter by www.webcounter.goweb.de

Status

Online seit 6608 Tagen
Zuletzt aktualisiert: 3. Jan, 22:11