Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Interessantes posting über das Vertrauen in SSL

23. März 2011

ioerror (Jacob Applebaum) - bekannt vom Tor Project - hat einen äusserst lesenswerten Post zur Sicherheit und zum Vertrauen in SSL auf blog.torproject.org gestellt.

Zentraler Punkt: wir wissen nicht mehr, welchen CAs wir vertrauen können. Wer den Sourcecode von Mozilla Firefox und Chrome aufmerksam mitliest, wird bemerkt haben, dass plötzlich ein paar Zertifikate als ungültig markiert wurden. Jacob Applebaum geht in seinem Blog Posting darauf ein und analysiert, warum die Zertifikate als ungültig markiert wurden. Bottom-line: wir vertrauen CAs. CAs können unterwandert werden, sie können ihre keys verlieren oder sie können von (vor allem nicht demokratischen) Staaten politisch missbraucht werden, um beliebige Zertifikate zu erstellen. Unsere Browser zeigen dann weiterhin ein "secure" Schlüssel-Symbol an und ein Normalbenutzer wird keinen Unterschied feststellen.

Update: mittlerweile hat auch der Mozilla Blog einen Erklärungstext, was mit den Zertifikaten passiert ist: "Users on a compromised network could be directed to sites using the fraudulent certificates and mistake them for the legitimate sites"

Besorgniserregend...

Autor: L. Aaron Kaplan

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2011/3/23 - 12:44:20
Haftungsausschluss / Datenschutzerklärung