23.03.2011 12:44

Interessantes posting über das Vertrauen in SSL

ioerror (Jacob Applebaum) - bekannt vom Tor Project - hat einen äusserst lesenswerten Post zur Sicherheit und zum Vertrauen in SSL auf blog.torproject.org gestellt.

Zentraler Punkt: wir wissen nicht mehr, welchen CAs wir vertrauen können. Wer den Sourcecode von Mozilla Firefox und Chrome aufmerksam mitliest, wird bemerkt haben, dass plötzlich ein paar Zertifikate als ungültig markiert wurden. Jacob Applebaum geht in seinem Blog Posting darauf ein und analysiert, warum die Zertifikate als ungültig markiert wurden. Bottom-line: wir vertrauen CAs. CAs können unterwandert werden, sie können ihre keys verlieren oder sie können von (vor allem nicht demokratischen) Staaten politisch missbraucht werden, um beliebige Zertifikate zu erstellen. Unsere Browser zeigen dann weiterhin ein "secure" Schlüssel-Symbol an und ein Normalbenutzer wird keinen Unterschied feststellen.

Update: mittlerweile hat auch der Mozilla Blog einen Erklärungstext, was mit den Zertifikaten passiert ist: "Users on a compromised network could be directed to sites using the fraudulent certificates and mistake them for the legitimate sites"

Besorgniserregend...

Autor: L. Aaron Kaplan