Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Interessantes posting über das Vertrauen in SSL

23. März 2011

ioerror (Jacob Applebaum) - bekannt vom Tor Project - hat einen äusserst lesenswerten Post zur Sicherheit und zum Vertrauen in SSL auf blog.torproject.org gestellt.

Zentraler Punkt: wir wissen nicht mehr, welchen CAs wir vertrauen können. Wer den Sourcecode von Mozilla Firefox und Chrome aufmerksam mitliest, wird bemerkt haben, dass plötzlich ein paar Zertifikate als ungültig markiert wurden. Jacob Applebaum geht in seinem Blog Posting darauf ein und analysiert, warum die Zertifikate als ungültig markiert wurden. Bottom-line: wir vertrauen CAs. CAs können unterwandert werden, sie können ihre keys verlieren oder sie können von (vor allem nicht demokratischen) Staaten politisch missbraucht werden, um beliebige Zertifikate zu erstellen. Unsere Browser zeigen dann weiterhin ein "secure" Schlüssel-Symbol an und ein Normalbenutzer wird keinen Unterschied feststellen.

Update: mittlerweile hat auch der Mozilla Blog einen Erklärungstext, was mit den Zertifikaten passiert ist: "Users on a compromised network could be directed to sites using the fraudulent certificates and mistake them for the legitimate sites"

Besorgniserregend...

Autor: L. Aaron Kaplan

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2011/3/23 - 12:44:20
Haftungsausschluss / Datenschutzerklärung