Jabber (XMPP) ist meine erste Wahl für Instant Messaging – in erster Linie mit Adium X, manchmal auch mit iChat. Ein Vorteil von Jabber ist die üblicherweise verschlüsselte Verbindung zwischen Benutzer und Server. So auch beim Jabber-Server des deutschen Chaos Computer Clubs (CCC) …
… unschön bloss, dass ausgerechnet die «Hacker» vom CCC nicht in der Lage sind, ein korrektes SSL-Zertifikat für die Verschlüsselung zu generieren!? 
Nachtrag vom Mittwoch, 9. Januar 2008 um 12.52 Uhr: Per Kommentar hat «vt100», der den CCC-Jabber-Server administriert, kurz Stellung bezogen. Merci! 
Huhu! Ich will ja nicht aufmüpfig werden aber den CCC schuldig zu sehen macht man nicht. Ich mag die viel zu sehr und würde lieber alles auf apple bzw Adium schieben
.
Whatever… dein blog ist suuuupär. Immer weitermachen
Naja – nicht vertrauenswürdig bedeutet in diesem Fall wahrscheinlich, dass Adium die CA nicht kennt, die das Zertifikat des CCC ausgestellt hat.
Ich vermute, dass der CCC seine CA selbst betreibt, das kann man anhand der Zertifikatsdetails leicht nachsehen. Adium wiederum benutzt vermutlich einfach den CA-Speicher von OS X – und da steht – wie bei fast allen Browsern & Betriebssystemen diese CA eben nicht drin.
Der CCC kann da vermutlich garnicht so viel dran ändern. Sie müssten
a) viel Geld in die Hand nehmen und Apple überreden, ihre CA als vertrauenswürdig aufzunehmen.
b) ihre CA einstampfen und ihre Zertifikate (oder vielleicht ihre CA als Intermediate) von einer etablierten CA unterschreiben lassen. Also auch viel Geld in die Hand nehmen.
Das Problem ist also hier mehr ein Politisches.
Von GUI-Wegen her schwierig. Adium hat recht – aus seiner Sicht ist das Zertifikat nicht vertrauenswürdig. Du musst also entweder (als Nutzer) dem Zertifikat vertrauen, oder (besser) dem CCC als CA komplett – also jedem Zertifikat, dass der CCC anerkennt.
hier steht: http://www.ccc.de/ca/
Server = jabberd.jabber.ccc.de, Zertifikat = jabber.ccc.de, folglich ist das Zertifikat nicht gültig.
Der CCC vermindert damit die Sicherheit von SSL. Kaum ein Benutzer prüft ein SSL-Zertifikat. Noch schlimmer: Die Benutzer sind sich Fehlermeldungen zu SSL gewöhnt und klicken sie einfach weg. Da hat der CCC seine Hausaufgaben wirklich nicht gemacht!
Bei https://www.ccc.de/ gibt es leider auch ein Problem.
Sehr schwach! Am 24C3 hat man noch Witze über Websites ohne SSL gemacht. Aber fehlerhaftes SSL finde ich noch schlimmer!
Vielen Dank für Eure Rückmeldungen!
@Heiko: Beim CCC-Jabber-Server scheint das Problem nicht CA-bedingt zu sein. Im Bezug auf die CA-Problematik möchte ich aber anfügen, dass SSL-Zertifikate, die ohne Murren akzeptiert werden, nicht mehr die Welt kosten, die günstigsten Zertifikate erhält man ab etwa 15 EUR pro Jahr.
Also das gleiche Problem habe ich mit swissjabber.ch im Moment auch, das kam aber auch erst seit der neuesten Adium Version und ist sehr nervig.
Mahlzeit, die Herren.
Ja, die Probleme mit dem neuen Adium sind mir durchaus bekannt. Evtl. wird sich das mit einem neuen Zertifikat beheben lassen, was dann in Verbindung mit der neuen Hardware auftauchen wird.
Bis dahin bitte ich noch um ein wenig Geduld,
der Defaultschuldige.
Sagt mal, wer weiß hier eigentlich wovon er spricht? CCC benutzt ihre eigene CA schon länger nicht mehr und ist statt dessen auf die bekanntere CAcert.org umgestiegen und benutzt jetzt eben Community-Zertifikate. Die sind bisher ausser in etlichen Linux-Distris nirgends im CA-Cache hinterlegt… Firefox 3 soll es evtl. mitbringen – nichts genaues weiß man nicht.
Das dass Zertifikat auf jabberd.ccc.de ausgestellt wurde ist zwar unschön aber eben nicht falsch. Dann verbindet man Adium eben dahin. Hat man das CAcert.org Wurzelzertifikat im Cache (generell eine gute Idee, benutzen schon recht viele freie Seiten) bekommt man bei Adium keine Fehlermeldung.
https://www.ccc.de ist im übrigen völlig korrekt. Die Fehlermeldungen die man da bekommt, rühren allein von einem fehlendem Wurzelzertifikat her.
Unbestreitbar ist natürlich das Verschlüsselungen bis dato noch alles andere als benutzerfreundlich ist. Aber seit dem 1.1. macht es auf jeden Fall Sinn sich wenigstens mal oberflächlich (sprich ohne die unterliegende Technik anzusehen) mit dem Thema auseinanderzusetzen.
@Jens: Tatsache ist, dass Fehlermeldungen erscheinen – wie häufig bei SSL … damit verliert SSL deutlich an Sicherheitswert, denn die Benutzer sind es sich inzwischen gewohnt, Fehlermeldungen dieser Art wegzuklicken. Wer nicht in der Lage ist, SSL so einzurichten, dass die Benutzer keine Fehlermeldung erhalten, begeht deshalb IMHO einen Fehler … und der CCC sollte sich wirklich Zertifikate leisten können, die auf allen gängigen Systemen ohne Fehlermeldung funktionieren.
Apropos CAcert.org: http://www.cacert.org/index.php?id=3 hilft Interessierten weiter.
hast du zufällig über darwin port was installiert?
ich habe sogar auf gmail ein Problem gehabt weil er meint es ist das falsche SSL und auch bei jabber.org, was mich schon sehr wundert, habe leopard relativ neu und eben nur viele darwin ports instaliert, aber reine spekulation.
@bernd: Danke für den Hinweis! «Darwin Ports» verwende ich nicht … das Problem bei all diesen Zertifikats-Fehlermeldungen liegt meistens darin, dass die Zertifikate tatsächlich nicht vollständig korrekt sind, weil eine Differenz zwischen verwendeter Domain und zertifizierter Domain besteht (beispielsweise mit oder ohne «www»).
Möchtest Du den Artikel vielleicht erneut kommentieren und die Situation nach dem Serverupgrade ansprechen? Vielleicht hat sich was geändert, vielleicht nicht? Danke
@vt100:
Im Bezug auf das Zertifikat hat sich leider nichts geändert …
… abgesehen davon läuft der Server nun aber zuverlässig; Probleme beim Login sind nicht mehr zu verzeichnen.
Hast Du die Zertifikate von CACert bei Dir im OSX eingetragen? Mein Adium jammert da durchaus nicht mehr…
Ja, so lässt sich die Fehlermeldung beseitigen … aber wünschenswert wäre ein Zertifikat, dass ohne diesen Umweg ohne Fehlermeldung funktioniert.
Aufgrund solcher Fehlermeldungen halten es inzwischen viele Benutzer normal, dass bei SSL-Verbindungen Fehler gemeldet werden – damit wird der Zweck von SSL untergraben, denn die Benutzer klicken solche Fehlermeldungen schlicht weg anstatt zu prüfen, wieso das Zertifikat als ungültig gemeldet wird.
Ok, damit ist das hier erledigt. Das mit den Zertifikaten ist nunmal so, das lässt sich ohne weiteres nicht ändern. Nein, die Lösung, da einfach nur ein Zertifikat bei Verisign zu ordern, ist keine.
Ja, das Problem lässt sich so lösen …
… wo liegt denn dabei das Problem?
Daß es Geld kostet? Und daß sich ein Benutzer – wenn er sich das Root-Cert von CACert importieren muss – vielleicht ein bisschen mal mit CACert auseinandersetzt?
Wäre zumindest wünschenswert, dann müsste ich diese Antwort hier nämlich auch nicht schreiben.
So so. Der CCC kann sich die paar Euronen für ein Cert nicht leisten und wird darüber hinaus auch noch ausfällig, wenn man es ihm sagt. Schwach!
Die Error Message BTW sagt dem Benutzer einfach, dass das Cert nicht gültig ist. CACert wird nicht erklärt. Aber das sollte auch nicht notwendig sein. Sicherheit, die so kompliziert ist, ist eben keine Sicherheit.
Der CCC wird am kommenden Firefox 3 gar keine Freude haben. Die Cert-Warnung lässt sich in Firefox 3 nicht mehr so leicht wegklicken wie bisher. Aber gut, der CCC wird sich sagen, dass sowieso fast niemand ein Cert nutzt um die CCC Sites zu browsen.