Nachdem Saudi-Arabien erst kürzlich in den Nachrichten war, weil sie gerne die Blackberrys im Land überwachen wollen (und das nun auch kriegen) bin ich durch den offenen Brief der EFF an Verizon erst auf das wirkliche Problem aufmerksam geworden.
Die Firma CyberTrust (mittlerweile von Verizon aufgekauft) hat im Dezember 2005 eine sogenannte Sub-CA für Etisalat, den staatlichen Telekomkonzern in Saudi-Arabien erstellt. Das klingt unspektakulär, bis man mal genauer über die damit verbundenen Möglichkeiten nachdenkt. Da die CyberTrust CA in so ziemlich jedem Browser “eingebaut” ist “erbt” die Etisalat-Sub-CA damit das Vertrauen. Der Browser erkennt also Zertifikate von Etisalat als gültig an. Selbstverständlich ist genau das der Sinn einer Sub-CA, aber hier liegt auch die Gefahr. So könnte Etisalat für beliebige Webseiten Zertifikate erstellen (z.B. Banking, regierungskritische Organisationen, usw.) und der unbedarfte Nutzer würde nicht einmal merken, das er nicht mit dem richtigen Server verbunden ist. Etisalat könnte sich, ohne großen Aufwand, in die SSL-Verbindung einklinken und alle sensiblen Daten im Klartext mitlesen. Eine ziemlich unangenehme Vorstellung, besonders wenn man weiß, das die Saudis es mit den Menschenrechten nicht so genau nehmen und bei Oppositionellen erst recht nicht.
Heute war es mal wieder soweit: Die Erneuerung eines SSL-Zertifikats stand an. Anstatt auf den vorherigen Anbieter Thawte zu setzen, der nicht schlecht, aber dafür extra teuer ist, griff ich also auf ein unglaublich günstiges Zertifikat von GoDaddy.com zurück.
In Sachen Browsererkennung, Verschlüsselungsstärke, etc. nehmen sich die beiden kaum etwas, so das das neue Zertifikat nach der Installation in Apache problemlos mit Firefox, Safari und Camino zusammenarbeitete. Der Test mit Opera (9.64) schlug jedoch fehl und zeigte statt des mit einem Schloss hinterlegten Domainnamens nur ein graues Fragezeichen. Was war passiert ?
GoDaddy bietet für seine Zertifikate einen OCSP-Service (Online Certificate Status Protocol) an, mit dem sie Zertfikate quasi binnen Sekunden widerrufen können, sollte ein Missbrauch festgestellt werden. Das ist eigentlich eine recht simple Weiterentwicklung der CRL (Certificate Revocation List), die es schon seit langem gibt, die aber nicht realtime-fähig war. Anscheinend muss man nun neue Zertfikate, wie einen guten Schinken, erst einmal 1-2 Stunden reifen lassen, bevor man sie auf das Netz loslässt. Erst dann weiß der Godaddy-OCSP-Server offenbar etwas mit diesem Zertifikat anzufangen und bestätigt es interessierten Browsern wie Opera.
Nordkorea entwickelt sich langsam zu einem meiner Lieblingsthemen. Nicht, weil ich das gut heiße, was da abgeht, oder mit der Kim-Familie, dem Kommnismus oder sonst wem sympathisiere, sondern weil es einfach nur amüsant und erschreckend zugleich ist, wie der Machthaber Kim Jong Il dem Rest der Welt auf der Nase rumtantzt. Beispiel gefällig ?
Nordkorea zockt die Rückversicherer ab
Ganz großes Kino ! Mich hat es sowieso gewundert, wie in einem Land, wo wirtschaftlich kaum was los ist so riesige Zugunglücke passieren können. Das könnte eine Erklärung sein. Das Highlight des Artikels ist so schön, das muß ich hier nochmal zitieren:
Man [die Rückversicherer] sei immer noch davon überzeigt, dass es sich um einen Betrug handele, sagt ein anderer Versicherungssprecher, der namentlich nicht genannt werden möchte. “Aber wie will man einen staatlichen Betrug nachweisen? Wer soll das bezeugen, und dann auch noch in einem totalitären Staat wie Nordkorea?” Da das “schwierig, wenn nicht gar unmöglich” sei, hätten die betroffenen Versicherungen einer Zahlung zugestimmt. (Quelle: Spiegel Online)
Schade. Nachdem TemporaryInbox schon in den letzten Wochen irgendwie technisches Schwierigkeiten hatte ist die Seite nun wohl erstmal auf längere Sicht offline. Der One-Time-eMail Service war dabei sehr hilfreich, wenn man eine Mail erhalten musste, aber dennoch seine echte eMail-Adresse nicht preisgeben wollte.
Aber wie das ist so, im Internet, ist auch hier Ersatz nicht all zu schwer zu finden: Mailinator bietet einen ähnlichen Dienst und kann sich als Alternative durchaus sehen lassen.
Nordkorea ist ja seit einigen Wochen quasi täglich in den Nachrichten. Dort hört man meistens, das der lokale Diktator, Kim Jong Il, an seinen ersten Nuklear-Raketen schraubt und damit für mächtig Ärger bei der UN und den USA sorgt. Gleichzeitig fragt man sich aber: Was geht eigentlich ab, in Nordkorea ? Was läuft dort hinter den Kulissen ? Wie leben die Menschen dort ?
Diese Fragen beantwortet, zumindest teilweise, der “Vice Guide to North Korea”, eine insgesamt ca. einstündige Dokumentation von VBS.TV. Wem VBS noch kein Begriff ist, der sollte sich definitv einmal die gesamte Seite anschauen, für alle anderen sei hier erst einmal der dedizierte Link: Vice Guide to North Korea
Wer danach “Lust auf mehr” hat, sollte sich einmal “North Korea uncovered” ansehen. Dabei handelt es sich um einen sogenannten Overlay für Google Earth, der die interessanten und auch gefährlichen Teile des Landes hervorhebt: North Korea uncovered