Hallo,

wäre es möglich, "Certificate Pinning" in PhonerLight zu implementieren, um MITM-Attacken auf SSL/TLS auszuschließen (unabhängig von Gültigkeit eines Zertifikats)?

D.h., dass PhonerLight sich merken müsste, welches Zertifikat es für einen VoIP-Server verwendet. Und eine Meldung anzeigt, falls ein abweichender Zertifikat gesendet wird. (Wobei der Benutzer dann entscheiden darf, ob er die Verbindung ablehnt, oder das neue Zert das alte ersetzen soll. (Evtl. könnte man auch mehrere Zerts für den selben Server zulassen (d.h. eine Liste der Zerts), da es Anbieter gibt (zumindest in HTTPS-Bereich), die mehrere Zerts für selbe Adressen verwenden - z.B. Google.)

Beispiel: "Certificate Patrol"-Erweiterung für Firefox. (Es muss aber nicht so umfangreich sein, da ja nicht viele (VoIP)-Adressen aufgerufen werden. Wie oben beschrieben reicht aus. (Ähnlich wie die "Server"-Konfiguration im Zertifikatmanager-Fenster von Thunderbird. Bei TB kann man "Certificate Pinning" konfigurieren, indem man einfach sämtliche Zertifizierungsstellen entfernt, und dann (bei ersten Anmeldung an einen E-Mailserver in der angezeigten Zertifikatwarnung eine Ausnahme dauerhaft speichert. Die erscheint dann unter "Server".))

Danke und Grüße

Vielen Dank für Ihre Antwort und kein Problem. Das sehe ich absolut ein.

Kleinerer Alternativvorschlag: Wie wäre es, wenn mehr Zertifikatdetails ins Debug-Tab ausgegeben würden. Dann könnte der Sicherheitsbewusste zumindest vor Passworteingabe (wenn er das Passwort nicht speichert, sodass es bei jeder Verbindung abgefragt wird) im Debug-Fenster nachsehen, ob das Zertifikat stimmt.

Momentan wird in Debug nur "Issuer", "Not After" und "Subject" ausgegeben, was aber fälschbar bzw. mehrdeutig ist und daher unzureichend. Folgende Daten wären sinnvoll, um eine informierte Entscheidung treffen zu können, ob ein Zertifikat noch dasselbe ist, oder ob sein Ersetzen (evtl. wegen Ablauf, etc.) begründet ist:
- Zertifikathierarchie (Zertifizierungsstellenhierarchie)

- Zertifikatdetails:
-- Name (CN)
-- Organisation (O)
-- Abteilung (OU)
-- MD5-Fingerabdruck
-- SHA1-Fingerabdruck
-- Ausstellungsdatum
-- Gültigkeit bis

- Daten der ausstellenden Zertifizierungsstelle:
-- Name (CN)
-- Organisation (O)
-- Abteilung (OU)
-- MD5-Fingerabdruck
-- SHA1-Fingerabdruck

Das wären dieselben Infos, die die "Certificate Patrol"-Erweiterung von Firefox bei einem Zertifikatwechsel anzeigt.

Danke und Grüße