• IT-Karriere:
  • Services:

SSL-Zertifikate

Unzulängliche Prüfungen durch CAs bringen Nutzer in Gefahr

Die EFF wirft einigen Certification Authorities (CAs) vor, SSL-Zertifikate ohne ausreichende Prüfung auszugeben. Sie verweist dabei auf Zertifikate für unqualifizierte Domainnamen wie "mail" für den einfachen Zugriff auf den Mailserver im lokalen Netzwerk, von denen es zahlreiche gibt.

Artikel veröffentlicht am ,
SSL-Zertifikate: Unzulängliche Prüfungen durch CAs bringen Nutzer in Gefahr

Die Electronic Frontier Foundation kritisiert laxe Prüfungen bei der Vergabe von SSL-Zertifikaten: Eine Analyse der Daten des EFF SSL Observatory, einer Sammlung aller öffentlich sichtbaren SSL-Zertifikate im IPv4-Internet, zeigt, dass diverse CAs auch für unqualifizierte Domains Zertifikate ausgestellt haben, obwohl diese Domains im Internet nicht zu routen sind. Nach Ansicht der EFF sollten die CAs nur Zertifikate für sogenannte Fully Qualified Domain Names (FQDN) ausstellen, also Internetadressen, die eindeutig sind.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Frankfurt am Main
  2. über duerenhoff GmbH, Raum Lörrach

Unqualifizierte Domains wie "mail" oder "www" hätten in jedem Netzwerk eine andere Bedeutung, in einigen seien sie gar nicht aufzulösen. Daher sollten dafür auch keine Zertifikate ausgestellt werden, da dies Nutzer einem unnötig hohen Risiko aussetze, so die EFF.

Die meisten Zertifikate fand die EFF für "localhost", was immer auf den eigenen Rechner zeigt. Es sei schlichtweg unsinnig, dafür ein Zertifikat auszustellen, doch einige CAs hätten gleich mehrere Zertifikate für "localhost" ausgegeben. Die EFF schlussfolgert daraus, dass diese CAs nicht einmal aufzeichnen, für welche Domainnamen sie bereits Zertifikate ausgestellt haben. Andere stellen sicher, dass für "localhost" nur ein einzelnes Zertifikat ausgegeben wird.

Insgesamt zählt die EFF 2.201 Zertifikate für "localhost", 806 für "exchange" sowie 2.383 für "exchange" in Verbindung mit anderen Zeichen wie beispielsweise "exchange01" und 5.657 für "exch" in Kombination mit anderen Zeichen wie "exch01".

Diese Vielzahl an Zertifikaten für unqualifizierte Domainnamen sei ein Indiz dafür, dass viele CAs die von ihnen unterschriebenen Zertifikate nicht einmal einer minimalen Prüfung unterziehen. Das untergrabe die Behauptung der CAs, glaubwürdig zu sein und setze Internetnutzer einem erhöhten Risiko aus.

Ausgestattet mit einem Zertifikat für "mail", sei es einem Angreifer mit einer "Man-in-the-Middle-Attacke" möglich, eine vertrauenswürdige Webseite perfekt zu fälschen, um so an Accountdaten der Nutzer zu gelangen.

Die EFF warnt daher vor der Nutzung unqualifizierter Domainnamen, die nur im lokalen Netz ausgelöst werden. Nutzer sollten stattdessen Bookmarks auf die vollen URLs setzen und ihre Administratoren auf das Problem aufmerksam machen. Browser und E-Mail-Clients sollten Zertifikate für unqualifizierte Domainnamen als ungültig ansehen. Und Organisationen, die auf Zertifikate für unqualifizierte Domainnamen angewiesen seien, sollten eine eigene CA in ihrem privaten Namensraum dafür betreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 39,99€ statt 59,99€ | Deluxe Edition für 52,99€ und Super Deluxe Edition für 79,99€
  2. (u. a. 32 GB DDR4-3200 129,99€, 16 GB DDR4-3200 mit RGB-Beleuchtung 79,99€)
  3. 59,99€ statt 89,99€
  4. (u. a. Underworld Evolution, Kung Fu Hustle, SWAT, Tränen der Sonne, Auf der Flucht)

benji83 06. Apr 2011

Irgendwie beschäftigt mich der Satz. Impliziert er nicht das der Nutzen solcher...

backtrack100 06. Apr 2011

Ja, stimmt. Allerdings wird es notwendig sein, sein eigenes selbsterzeugtes...


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
Von De-Aging zu Un-Deading
Wie Hollywood die Totenruhe stört

De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
Eine Analyse von Peter Osteried


    Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
    Von Microsoft zu Linux und zurück
    "Es gab bei Limux keine unlösbaren Probleme"

    Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
    Ein Interview von Jan Kleinert


        •  /