(ag) – 40-Bit-Zertifikate mit RC4 sind keine Seltenheit.
Sicherheitsexperte Rodney Thayer von Canola & Jones hat bei einer Untersuchung von SSL-Zertifikaten auf Business-Websites herausgefunden, dass es mit deren Sicherheit nicht zum Besten bestellt ist. Thayer wird seine Ergebnisse Ende des Monats auf dem 25th Chaos Communication Congress (25C3) präsentieren.
Bei Websites, die aktuelle und sichere Zertifikate verwenden, fand er viele Konfigurationsfehler, die das Zertifikat kompromittieren. Häufigster Fehler ist eine falsche URL der Website. Ein Anbieter, der sich beispielsweise ein Zertifikat auf www.store.com ausstellen lässt, darf diese Website nicht zusätzlich per SSL/TLS unter store.com anbieten. Von dieser Möglichkeit machen allerdings viele Betreiber Gebrauch, um den Komfort für Kunden zu erhöhen.
Auch ein ungültiges Zertifikat verschlüsselt die Daten zwischen Browser und Webserver, jedoch kann sich ein Datendieb per Man-in-the-Middle-Angriff unbemerkt einklinken und Zugangsdaten oder Kreditkarteninformationen verschaffen.
Thayer empfiehlt, Warnungen im Browser über Unregelmäßigkeiten bei Zertifikaten nicht einfach zu ignorieren, sondern ihnen genau nachzugehen. Oft ist das allerdings nicht möglich. Vor allem kleinere Websites erstellen ihre Zertifikate aus Kostengründen selbst mit OpenSSL. Deren Authentizität kann der Browser dann nicht überprüfen.
Quelle: ZDNet
[...] passt die Meldung, dass wohl noch stärker als ohnehin vermutet, veraltete SSL-Zertifikate im Umlauf sind. Posted in [...]