News Microsofts stille Zertifikat-Updates wecken Misstrauen

Der Artikel ist unvollständig Opera Version 12 hat auch eine eigene Zertifikatsliste erst das neue Opera 15 bedient sich an den Windows Zertifikaten aber das ist ja eh nen bisschen anderer Chrome.
 
Ich kan den Schlüssel "AuthRoot" dort nicht finden. Das einzige ähnlihce dazu, das ich sehe ist "Root". Soll man da den Eintrag "DisableRootAutoUpdate" hinzufügen?
 
Ich glaube wenn Microsoft sich eine Hintertür zum Unterschieben von Zertifikaten einbauen wollte, würden sie das nicht per Gruppenrichtlinie abschaltbar machen.

Ich finde diese Vorgehensweise schon ok. Die meisten Windows-User (die auch nicht wissen wie man diese Funktion abschaltet) wären mit derart technischen Nachfragen total überfordert. "Vertrauen Sie dem Zertfitikat mit Fingerprint sowieso von Unternehmen sowieso?" würde doch bei >90% der User bloß für Schulterzucken sorgen und für einen "mirdochegal"-Klick auf "ja" sorgen. Und wenn sich MS darauf verlassen würde dass alle User regelmäßig Updates installeren, und damit auch immer aktuelle Zertifikatslisten, dann stünden sie auf verlorenem Posten.

Wer der Infrastruktur von Windows und Microsoft derart mißtraut, der sollte sich einfach mal fragen ob er das richtige System verwendet. Windows und andere MS-Produkte sind mit Servicecalls an Microsoftserver komplett durchwirkt.
Hätte ich zweifel an der Integrität der Firma und deren Dienstleistungen würde ich das System in die Tonne treten.
 
Wie ist das bei den E-Mail Programmen die SSL verwenden? Vor allem interessiert mich ob der Thunderbird die CA-Liste von Mozilla benutzt. Kann mir das jemand beantworten?
 
Zuletzt bearbeitet:
News schrieb:
Zusätzlich zu diesen Updates, die an alle Windows-Installationen ausgeliefert werden und die somit überprüfbar sind, lädt Windows aber bei Bedarf weitere Stammzertifikate von einem Microsoft-Server nach. Falls nämlich beim Aufrufen einer Website deren SSL-Zertifikat nicht anhand der bereits bekannten Root-Zertifikate verifiziert werden kann, versucht Windows im Hintergrund das entsprechende Zertifikat von einem Microsoft-Server zu laden.

Warum Microsoft neben dem normalen Windows-Update-Mechanismus Zertifikate auch über den beschriebenen stillen Modus im System verankert, ist bisher unbekannt.
Könnte vielleicht daran liegen, dass viele Windowssysteme ihr WSUS nur periodisch oder gar nicht aktiviert haben und man so sicher stellen will, dass man zumindest im Netz auf entsprechenden Seiten sicher unterwegs ist.
Natürlich kann man auch direkt wieder die NSA einwerfen, das passt ja auch gerade so schön zur aktuellen Themenlage!!!
 
bLu3to0th schrieb:
Natürlich kann man auch direkt wieder die NSA einwerfen, das passt ja auch gerade so schön zur aktuellen Themenlage!!!

Denn jeder *klick* bringt Geld.
 
Sehr guter Kommentar DocWindows

Damit ist alles gesagt. Aber lieber macht man stumpfe Anti-NSA-Propaganda, als deren Funktion überhaupt zu hinterfragen.
 
Wenn die NSA an den root-CA sitzt, nützt der Ganze Aufwand nichts. Nicht umsonst kam Flame mit gültiger Signatur. Streng genommen darf man Zertifikaten nur noch vertrauen, wenn sie von der eigenen Root-CA stammen, was den Einsatz von Zertifikaten im Internet komplett nutzlos macht.
 
DocWindows schrieb:
Hätte ich zweifel an der Integrität der Firma und deren Dienstleistungen würde ich das System in die Tonne treten.
Dann bringe du mal unter Linux Direkt3D nativ zum Laufen. Es ist nun mal so, dass man sich für das geeignetste Produkt am Markt entscheidet.

Vergleich das mal mit einem Düsenjet und einem Linenflug. Beim Düsenjet bist du vielleicht schneller am Ziel, aber die Kosten sind deutlich höher. Also bist du lieber langsamer und nimmst den Zeitverlust in Kauf als einen deutlich höheren Preis zu bezahlen. ( Du hast einen Kompromiss geschlossen ) Das ist so ähnlich mit Microsoft, man nimmt diese Einschränkungen hin da andere Systeme einen noch größeren Aufwand / Kosten bedeuten würden.
 
Zuletzt bearbeitet:
Was mich nun viel mehr interessieren würde wie finde ich den nun heraus ob die SSL Stammzertifikante nun echt oder gefackt sind oder steht da nun irgendwo "Big Door of NSA" drauf, ich meine bringt mir ja nun nix mehr wenn ich nachträglich im Gruppenrichtlinieneditor einfach das Auto-Update der CA-Liste abstellen!

Ja klar wenn ich nicht von Berufswegen mit Windows Arbeiten müsste würde ich auch auf Linux zugreifen eine Suse habe ich eh in einer VM Laufen, aber bringt mir ja nix wenn nicht alle Programme unter Linux laufen.
 
Ich denke mal, die Zertifizierungsstellen haben sowieso schon seit Jahren Arbeitsplätze für NSA Mitarbeiter. Die verankern sich doch am echten Root und nicht erst "kompliziert" in EINEM Betriebssystem.
 
Suxxess schrieb:
Dann bringe du mal unter Linux Direkt3D nativ zum Laufen. Es ist nun mal so, dass man sich für das geeignetste Produkt am Markt entscheidet.

Was ich anspreche ist ein grundsätzliche Entscheidung und kein Technik-kleinklein. Da brauchts auch keine Düsenjägervergleiche. Vertraue ich der Integrität eines Systems und einer Firma? Ja oder nein. Wenn ich das beantwortet habe, kann ich mich um technische Detailfragen kümmern.

Beim Thema Direct3D bieten sich ja direkt 3 Lösungswege an:
a) Ich verwende Windows nur für Direct3D-Anwendungen im DualBoot mit einem anderen System
b) Ich verzichte auf Anwendungen die nur Direct3D unterstützen
c) Ich akzeptiere dass mein System und meine Daten unsicher sind, kann aber dafür schön bequem auf meinem Hintern sitzenbleiben und brauch mich nicht zu bewegen.

Dies trifft natürlich nur für den Fall zu, dass ich diese Art Updates und evtl. noch andere Sachen als problematisch erachte. Ob gerechtfertigt oder nicht ist da ja erstmal egal. Es geht ja um Subjektivität und nicht um Objektivität.
 
ich kann mir das schon vorstellen, dass einfach für den DAU sein kann....

Ich habe scho leute gesehen, die total aufgeschmissen waren, als alle zertifikate ungültig waren, weil der kleine sohn einfach nur die uhrzeit umgestellt hat....


Das MS dazu aber nix sagt, dass ist doch klar, dass man nun das spekulieren anfängt... und das ist ganz bestimmt nicht verkehrt... :)
 
Dann wirds Zeit auf Linux umzustellen um sicherer zu Surfen und E-Mails versenden! :D
 
Jetzt mal in allen ehren, aber das liest sich echt wie die letzte Paranoia...
 
DocWindows schrieb:
Was ich anspreche ist ein grundsätzliche Entscheidung und kein Technik-kleinklein. Da brauchts auch keine Düsenjägervergleiche. Vertraue ich der Integrität eines Systems und einer Firma? Ja oder nein. Wenn ich das beantwortet habe, kann ich mich um technische Detailfragen kümmern. ...
Ganz klar: NEIN!
Und schon bin ich beim "Technik-Kleinkram" ... z.B. will ich aber unbedingt (auf Linux) einen VPN-Clint (openVPN) zur Anonymisierung laufen lassen. Leider läuft das Linux-System mit aktiviertem openVPN nur bis zum ersten Standby, danach kriege ich keine Internetverbindung mehr hin und zwar weder mit, noch ohne VPN(ist jetzt ein langes Thema, hab schon alles mögliche probiert, aber bis jetzt komme ich um einen Neustart nicht herum!).
Apropos, openVPN, dazu hätte ich auch gerne noch eine GUI, habe aber (unter Linux Mint "Olivia" KDE) noch keine zum Laufen gebracht (gefüttert mit den Konfigurationsdaten meines VPN-Providers).
Dann hätte ich auch gerne zumindest einen anständigen Virenscanner ... ja, ja, ich weiß, bei Linux braucht man das nicht, aber ich will nicht versehentlich zur Virenschleuder für andere werden!
Eine Speedfan Alternative, die auch wirklich funktioniert, gibt es auch nicht!
Da fällt mir gerade noch ein: Thema rund um die Bluray, Format-Konvertierung u.a., habe gelesen, dass das unter Linux auch ziemlich mau sein soll, mich persönlich aber noch gar nicht drum gekümmert. Könnte mir aber vorstellen, dass es schwierig/unmöglich sein wird, z.B. eine StaxRip Alternative zu finden!
Jetzt mal ganz abgesehen von der ewigen Frickellei z.B. bei den genannten Dingen!

Das waren jetzt nur mal ein paar Beispiele. Diesen Technik-Kleinkram in Summe genommen, wird dadurch dann doch irgendwann das "Projekt Linux" als Ganzes in Frage gestellt, bzw. ad absurdum geführt.
Und, weil man ja u.U. auch nicht Wochen und Monate Zeit hat, sich in die Linux-Welt einzugraben, macht man dann halt, wie oben schon erwähnt, doch den Kompromiss mit Windows.
 
Zuletzt bearbeitet:
1.) Manuelle Freischaltung von Beiträgen bei allem was irgendwie mit der NSA zu schaffen hat, danke !

2.) Nichts weiter als eine Funktion, Windows möglichst Einsteigerfreundlich zu halten. "We care, you trust"... Wenn ihr denen nicht traut, hört auf in Foren rum zu heulen und nutzt Alternativen ...
 
Klar NSA. Vor kurzem wanderten noch MS Bots über die Links die in Skype gepostet wurden.
Da passt dies hier nur ins Konzept. MS = NSA sub Firma.
 
Zurück
Oben