TLS ist tot. Wenn selbst Verisign mehrfach gehackt wird und – als ob das noch schlimm genug wäre – versucht, das einfach totzuschweigen, statt den angemessenen Alarm zu machen; wenn also mutmaßlich gefälschte Zertifikate aller Art in gewissen Kreisen zirkulieren, dann betrachte ich dieses HTTPS nur noch als Schlangenöl. Oder, um es mit den Worten eines Anwalts der NSA zu sagen: Oh my God! That could allow people to imitate almost any company on the Net. Ja, jeder hätte sich ein Zertifikat ausstellen können, mit dem er sich als jede Website dieser Welt hätte ausgeben können, und alle Browser hätten diesem Zertifikat vertraut.
Schlagwort SSL RSS
-
Nachtwächter
-
Nachtwächter
Na, wenn das so ist, dass da bei einer CA seit vier Jahren ein Server kompromittiert ist, dann sollte man vielleicht heute mal die weitere Ausgabe von Zertifikaten stoppen. Die umlaufenden Zertifikate sollen natürlich weiterhin gültig bleiben. Das sind die Stellen, denen vertraut wird, wenns um sichere Verschlüsselung im Web geht.
-
Nachtwächter
Na, glaubt immer noch jemand, dass dieses »https« als Protokollangabe – das die modernen Browser so gern noch grafisch als »sicher« hervorheben – irgendwas mit Abhörsicherheit und der Gewissheit, dass man auch wirklich seine Daten zum richtigen Gegenüber überträgt, zu tun hat? Bei Heise gibts eine Therapie gegen diesen Glauben, es sind in den letzten vier Monaten mindestens fünf CAs missbraucht worden, um ein paar falsche Zertifikate auszuzstellen. Also vergesst das mit der einfachen, bequemen Schlangenöl-Sicherheit!
-
Nachtwächter
Ich hätte bis eben schwören können, dass die Deutsche Bundesregierung standardmäßig als »vertrauenswürdige Zertifizierungsstelle« im Firefox-Browser eingetragen ist, weil ich mich daran erinnere, das vor gar nicht so langer Zeit einmal gesehen zu haben. Aber da scheine ich mich getäuscht zu haben, denn der Bundestag steht nicht (mehr) drin. Deshalb fand ich es auch ein bisschen unverständlich, dass der Petitions-Server des Deutschen Bundestages nun plötzlich eine Warnmeldung im Firefox auswirft, weil die Ausgabestelle des Zertifikates nicht vertrauenswürdig ist, was wohl schon so manchen vom Unterzeichnen einer Petition abgehalten hat. Das riecht ja bei der gegenwärtigen Beliebtheit dieser Petitionsform geradezu nach Absicht.