Emöglicht dieses Zertifikat SSL-Ispection?

[Nobody007]

Guten Abend,

ich habe eine Frage bezüglich eines Zertifikates, dem ich vertrauen muss, wenn ich mich mit einem bestimmten WLAN Netzwerk verbinde.
Als ich mich das erste mal mit diesem Netzwerk (mit einem Iphone) verbinden wollte, musste ich einen Nutzernamen+Passwort eingeben, welche mir bekannt waren. Soweit so gut, doch darauf kam ein Zertifikat, dass als SSL-Zertifikat beschrieben wurde, dem ich vertrauen musste. Es war anscheinend ein CA-Zertifikat. Da ich überwiegend HTTPS-Seiten ansurfe, mach ich mir natürlich Sorgen um meinen Traffic. Privat ist privat. Deshalb wollte ich jetzt Fragen, ob durch dieses Zertifikat SSL-Inspection möglich ist? Das Zertifikat muss nicht installiert werden, wie es bei Mail-Zertifikaten in iOS üblich ist. Lediglich „vertrauen“ muss bestätigt werden.
Im Internet stand, dass diese Art von Zertifikaten nur zur Identifikation des Client-Geräts nötig sind, un zu bestätigen, wer auf das Netzwerk zugreift. Zusätzlich steht über SSL-Inspection geschrieben, dass die Zertifikate im Browser durch „manipulierte „ SSL-Zertifikate ausgetauscht werden müssen. Das Zertifikat in meinem Fall macht dies denke ich mal nicht oder?

Ein Foto, dass ich aus dem Netz habe, hänge ich an. Ist leider nicht ein Screenshot von mir, da ich dies vergessen habe.

Ich danke für eure Antworten.

 

[carnival55]

Basierend auf dem Screenshot, hilft Dir vielleicht dieser Thread bei adminstrator.de.
Falls der Fall ähnlich gelagert ist, scheint das normales Verhalten am iPhone zu sein.

 

[Scientist]

Das Zertfikat hat nichts mit dem Zertfikat irgendeiner von dir aufgerufenen Seite zu tun.
Hier geht es nur um die berechtigte Verbindung zwischen deinem Geraet und dem WLAN-Betreiber.

Das hindert dem WLAN-Betreiber aber nicht daran, ungesicherte Kommunikation mitzuschneiden oder Verbindungsnachweise zu sammeln (ungesichterte DNS-Abfragen) oder zu versuchen, deine gesicherte Kommunikation (HTTPS) zu knacken.

Ein Risiko besteht immer bei fremden WLANs.

Andere duerfen mich hier gerne korrigieren.

 

[Snowi]

Das hindert dem WLAN-Betreiber aber nicht daran, ungesicherte Kommunikation mitzuschneiden oder Verbindungsnachweise zu sammeln (ungesichterte DNS-Abfragen) oder zu versuchen, deine gesicherte Kommunikation (HTTPS) zu knacken.
Ein Risiko besteht immer bei fremden WLANs.
Andere duerfen mich hier gerne korrigieren.

Aus meiner Sicht durchaus korrekt, allerdings bieten mittlerweile quasi alle Websites HTTPS an, schlicht und einfach weil die Browser einem sonst eine Warnseite vors Gesicht werfen, was bei Kunden nicht gut ankommt. Dazu listet Google einen deutlich schlechter, wenn man nur HTTP kann.
Also sowohl theoretisch als auch praktisch noch ein Problem, allerdings wird das Problem praktisch immer unwichtiger.

Zum Thema: Logisch und Technisch sollte das Zertifikat eigentlich getrennt sein, d.h. mit dem Zertifikat sollte es nicht möglich sein, dir andere Inhalte unterzujubeln, weil es nur für die WLAN-Verbindung genutzt wird. 100% sicher bin ich mir aber auch nicht um ehrlich zu sein :/

 

[Nobody007]

@Scientist
Okay, ich danke dir. So hab ich das auch gedacht, nur habe ich mir die Frage gestellt, warum dieses Zertifikat dann als SSL-Zertifikat ausgestellt ist. Weil innerhalb des Netzwerkes zur Kommunikation zwischen den Geräten wird ja normalerweise kein SSL benutzt.

Ergänzung (22. September 2021)

@Snowi

Okay, danke dir für deine Antwort. Ich beschäftige mich mal weiter damit.

 

[TomH22]

Weil innerhalb des Netzwerkes zur Kommunikation zwischen den Geräten wird ja normalerweise kein SSL benutzt.

Wenn dort vertrauliche Daten übertragen werden (wie Deine Anmeldedaten an das WLAN) macht das schon Sinn. Das Problem bei dem oben abgebildeten Zertifikat ist, dass es schon lange abgelaufen ist.
Die Verschlüsselung leidet darunter nicht, es zeigt nur, dass das Netz schlampig gewartet ist.
Wie schon oben beantwortet wird dieses Zertifikat nur für die Anmeldung genutzt, Deine per HTTPS aufgerufenen Webseiten nutzen Ihre eigenen Zertifikate zur Sicherung der Verbindung.

Das hindert dem WLAN-Betreiber aber nicht daran, ungesicherte Kommunikation mitzuschneiden oder Verbindungsnachweise zu sammeln (ungesichterte DNS-Abfragen) oder zu versuchen, deine gesicherte Kommunikation (HTTPS) zu knacken.

Probieren kann er es. Bei DNS Abfragen passiert das oft schon dadurch, dass der Betreiber seinen Router als DNS angibt, und dort die Abfragen routinemäßig in ein log geschrieben werden.

Verschlüsselte HTTPS Kommunikation bekommt nicht mal die NSA geknackt, wenn sie richtig und ohne Schwachstellen implementiert ist.

Das was Du oben als “Inspection“ bezeichnest, wäre eine man-in-the-midle Attacke, bei der der HTTPS Verkehr temporär entschlüsselt wird. Dafür müsste der Betreiber Dir aber eigene CA Zertifikate unterschieben, unter iOS ist das glaube garnicht möglich, aber auch unter Windows müsste er dafür Deinen Rechner hacken.

Selbst staatliche Akteure, die Zugriff auf eine anerkannte Zertifizierungsstelle haben, um gefälschte Zertifikate auszustellen, werden in modernen Browsern durch Mechanismen wie “Certificate tranparency“ normalerweise entdeckt.

Wenn Du ganz auf Nummer sicher gehen willst, schreib Dir vorher den Fingerprint einer von Dir besuchten Website auf und vergleiche ihn, klappt aber nur mit vergleichsweise kleinen Websites die nicht über große Serverfarmen oder Content Delivery Networks betrieben werden. Aber das ist eigentlich nur eine Maßnahme für Aluhüte

 

[Nobody007]

Wenn Du ganz auf Nummer sicher gehen willst, schreib Dir vorher den Fingerprint einer von Dir besuchten Website auf und vergleiche ihn, klappt aber nur mit vergleichsweise kleinen Websites die nicht über große Serverfarmen oder Content Delivery Networks betrieben werden. Aber das ist eigentlich nur eine Maßnahme für Aluhüte

Ja, habe gehört man soll dann einfach die Zertifikate in eiem vertrauenswürdigen Netzwerk mit dem komprimierten Netzwerk abgleichen.

Ja, ich bin auch irgendwie ein kleiner Aluhut, aber ich glaube das ist jeder ein wenig