SSL-Zertifikate

Unzulängliche Prüfungen durch CAs bringen Nutzer in Gefahr

Die EFF wirft einigen Certification Authorities (CAs) vor, SSL-Zertifikate ohne ausreichende Prüfung auszugeben. Sie verweist dabei auf Zertifikate für unqualifizierte Domainnamen wie "mail" für den einfachen Zugriff auf den Mailserver im lokalen Netzwerk, von denen es zahlreiche gibt.

Anzeige

Die Electronic Frontier Foundation kritisiert laxe Prüfungen bei der Vergabe von SSL-Zertifikaten: Eine Analyse der Daten des EFF SSL Observatory, einer Sammlung aller öffentlich sichtbaren SSL-Zertifikate im IPv4-Internet, zeigt, dass diverse CAs auch für unqualifizierte Domains Zertifikate ausgestellt haben, obwohl diese Domains im Internet nicht zu routen sind. Nach Ansicht der EFF sollten die CAs nur Zertifikate für sogenannte Fully Qualified Domain Names (FQDN) ausstellen, also Internetadressen, die eindeutig sind.

Unqualifizierte Domains wie "mail" oder "www" hätten in jedem Netzwerk eine andere Bedeutung, in einigen seien sie gar nicht aufzulösen. Daher sollten dafür auch keine Zertifikate ausgestellt werden, da dies Nutzer einem unnötig hohen Risiko aussetze, so die EFF.

Die meisten Zertifikate fand die EFF für "localhost", was immer auf den eigenen Rechner zeigt. Es sei schlichtweg unsinnig, dafür ein Zertifikat auszustellen, doch einige CAs hätten gleich mehrere Zertifikate für "localhost" ausgegeben. Die EFF schlussfolgert daraus, dass diese CAs nicht einmal aufzeichnen, für welche Domainnamen sie bereits Zertifikate ausgestellt haben. Andere stellen sicher, dass für "localhost" nur ein einzelnes Zertifikat ausgegeben wird.

Insgesamt zählt die EFF 2.201 Zertifikate für "localhost", 806 für "exchange" sowie 2.383 für "exchange" in Verbindung mit anderen Zeichen wie beispielsweise "exchange01" und 5.657 für "exch" in Kombination mit anderen Zeichen wie "exch01".

Diese Vielzahl an Zertifikaten für unqualifizierte Domainnamen sei ein Indiz dafür, dass viele CAs die von ihnen unterschriebenen Zertifikate nicht einmal einer minimalen Prüfung unterziehen. Das untergrabe die Behauptung der CAs, glaubwürdig zu sein und setze Internetnutzer einem erhöhten Risiko aus.

Ausgestattet mit einem Zertifikat für "mail", sei es einem Angreifer mit einer "Man-in-the-Middle-Attacke" möglich, eine vertrauenswürdige Webseite perfekt zu fälschen, um so an Accountdaten der Nutzer zu gelangen.

Die EFF warnt daher vor der Nutzung unqualifizierter Domainnamen, die nur im lokalen Netz ausgelöst werden. Nutzer sollten stattdessen Bookmarks auf die vollen URLs setzen und ihre Administratoren auf das Problem aufmerksam machen. Browser und E-Mail-Clients sollten Zertifikate für unqualifizierte Domainnamen als ungültig ansehen. Und Organisationen, die auf Zertifikate für unqualifizierte Domainnamen angewiesen seien, sollten eine eigene CA in ihrem privaten Namensraum dafür betreiben.

Kommentarübersicht
Ausgestattet mit einem Zertifikat für "mail" ...
benji83 06. Apr 2011

Irgendwie beschäftigt mich der Satz. Impliziert er nicht das der Nutzen solcher...

Re: SSL-Diktatur-Käse
backtrack100 06. Apr 2011

Ja, stimmt. Allerdings wird es notwendig sein, sein eigenes selbsterzeugtes...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Software-Entwickler C# (m/w)
    SEGONI Aktiengesellschaft, Berlin
  2. Softwareentwickler (m/w) Bestandsführungssysteme
    Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt am Main
  3. Software Entwickler (m/w)
    conject AG, Duisburg
  4. IT-Ausbilder (m/w) für den technischen Ausbildungsbereich
    ROHDE & SCHWARZ GmbH & Co. KG, München

 

Detailsuche

Folgen Sie uns
       
Videos
Marvel's Agents of Shield - Teaser (Fernsehserie) Marvel's Agents of Shield - Teaser (Fernsehserie)
Ticker
  1. Telekom

    Bundestagspetition gegen Drosselung gestartet

  2. Linuxtag 2013

    Univention Absolventenpreis für Stauvermeidung

  3. Smartphones

    Kritik an Samsungs rabiater Vorherrschaft

  4. Steve Wilhite

    Ehrung für den Erfinder des "Jif"-Formates

  5. Seagate

    4-TByte-Festplatte für DVR und Videoüberwachung

  6. Microsoft

    Viren kommen wieder

  7. Seattle Campus

    Amazon baut sich einen Wald in riesigen Glaskugeln

  8. Xbox One

    Big Brother im Wohnzimmer

  9. Brian Krzanich

    Neuer Intel-Chef will Entwicklung persönlich kontrollieren

  10. Klarmobil Allnet-Starter

    Freiminuten, Gratis-SMS und Datenflatrate für 10 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Playstation 4
Sony: Die Playstation 4 ist schwarz - und verschwommen
Sony
Die Playstation 4 ist schwarz - und verschwommen

Störfeuer von Sony: Kurz vor der Enthüllung der nächsten Xbox hat Sony ein Video veröffentlicht, das zumindest einen verschwommenen Blick auf das Gehäuse der Playstation 4 gewährt.

  1. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"
  2. Lords of the Fallen Witcher-2- und Ankh-Macher arbeiten an Rollenspiel
  3. Polyphony Digital Gran Turismo erscheint für Playstation 3 - vorerst
Xbox One
Xbox One: Forza 5 und Halo-Serie von Spielberg kommen für Xbox One
Xbox One
Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

Microsoft hat erste Exklusivinhalte für die Xbox One vorgestellt. Neben dem Rennspiel Forza 5 fällt vor allem Halo auf, das noch nicht als Spiel, sondern als Serie von Steven Spielberg auf die Konsole kommt. Für Call of Duty: Ghosts gibt es Exklusivinhalte zuerst.

  1. Microsoft Neue Xbox wird offiziell Ende Mai 2013 enthüllt
  2. Nächste Xbox Cliff Bleszinski schaltet sich in Always-on-Debatte ein
  3. Nächste Xbox Cryteks Ryse und neues Forza exklusiv zum Start
Wireless LAN
Ruckus Wireless: Telefonzellen werden zu Gratis-Hotspots
Ruckus Wireless
Telefonzellen werden zu Gratis-Hotspots

Über 3.000 Telefonzellen stattet Ruckus Wireless als kostenlose WLAN-Hotspots aus. Das maximale tägliche Datenübertragungsvolumen liegt pro Nutzer bei 1 GByte.

  1. Projekt Millilink Fraunhofer-Institut überträgt 40 GBit/s über Richtfunk
  2. Metageek InSSIDer 3 mit Linkscore fürs Heim-WLAN
  3. Kabel Deutschland Kostenloses Berliner WLAN-Netz 250.000-mal genutzt
Forumsbeiträge »
  1. Seattle Campus Amazon baut sich einen Wald in riesigen Glaskugeln

    Re: Amazon soll erst mal einen Bookstore am Union...

    KarlaHungus | 15:01

  2. Smartphones Kritik an Samsungs rabiater Vorherrschaft

    Re: "Dass Samsung seine Position mit den Displays...

    redrat | 15:01

  3. Instant Messenger Whatsapp in Deutschland immer beliebter

    Re: Bitte alle zu Google Hangout wechseln! ...

    rossreiter | 15:01

  4. Smartphones Kritik an Samsungs rabiater Vorherrschaft

    Re: Ich verstehe den Hype um Samsung nur annähernd

    hackCrack | 15:00

  5. Xbox One Big Brother im Wohnzimmer

    Re: Ohne mich: Da hätte doch die STASI von geträumt

    Elgareth | 14:59

Ticker »
  1. Telekom Bundestagspetition gegen Drosselung gestartet

    14:54

  2. Linuxtag 2013 Univention Absolventenpreis für Stauvermeidung

    14:30

  3. Smartphones Kritik an Samsungs rabiater Vorherrschaft

    13:46

  4. Steve Wilhite Ehrung für den Erfinder des "Jif"-Formates

    12:06

  5. Seagate 4-TByte-Festplatte für DVR und Videoüberwachung

    12:06

  6. Microsoft Viren kommen wieder

    12:04

  7. Seattle Campus Amazon baut sich einen Wald in riesigen Glaskugeln

    11:53

  8. Xbox One Big Brother im Wohnzimmer

    11:41

Zum Artikel