Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Provider: Lücken in der…

Weitere Lücke: Verifizierung der Zertifikate

  1. Thema

Neues Thema Ansicht wechseln


  1. Weitere Lücke: Verifizierung der Zertifikate

    Autor: sesom42 25.07.13 - 10:26

    Eine weitere Lücke wurde gar nicht im Artikel angesprochen: auch wenn die Server-to-Server-Kommunikation mit TLS gesichert ist, so werden die verwendeten Zertifikate nicht verifiziert. Gerade bei großen Providern mit mehrern MXen wird nur ein Zertifikat mit genau einem CN verwendet, was dann eigentlich nicht valide ist. Man-in-the-Middle-Attacken sind dadurch möglich.

    Das einzig Sichere ist und bleibt die Ende-zu-Ende-Verschlüsselung.

  2. Re: Weitere Lücke: Verifizierung der Zertifikate

    Autor: PHPGangsta 29.07.13 - 22:51

    sesom42:

    Sicherlich richtig, aber dazu muss man nicht nur die Verbindung passiv abhören sondern abfangen, Man-in-the-Middle, und dann dem sendenden Server das gefälschte Zertifikat unterjubeln, oder eventuell einfacher die Unterstützung des STARTTLS aus der Feature-Liste entfernen, sodass im Klartext kommuniziert wird. Aktuell ist nicht bekannt dass NSA oder die Briten aktiv eingreifen in die Kommunikation, beide hören "nur" passiv mit.

    Dein Punkt ist völlig richtig wenn der Angreifer nicht nur zuhört sondern aktiv die Kommunikation unterbricht und verändert, das wäre eine völlig neue Dimension. Aber problematisch ist das trotzdem, da gebe ich dir Recht.
    Browser warnen bei falschen Zertifikaten, einer falschen Domain, einem selbst signierten oder abgelaufenen Zertifikat, bei einer automatisierten Kommunikation Server-to-Server gibt es diese Verifikation im SMTP-Bereich nicht, denn die Folge wäre:
    - Selbst signierte Zertifikate könnten nicht mehr genutzt werden, man bräuchte immer eins von einer CA
    - Wenn ein Zertifikat ungültig oder abgelaufen wäre würden ziemlich viele E-Mails bouncen, sowohl automatisch versendete als auch von Personen geschriebene, ein ziemlicher Aufwand die erneut zu Versenden NACHDEM das Problem behoben wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn, München
  2. Pfennigparade SIGMETA GmbH, München
  3. Stadtwerke Heidelberg GmbH, Heidelberg
  4. Wirecard Technologies GmbH, Aschheim bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 49,70€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
    Garmin Fenix 6 im Test
    Laufzeitmonster mit Sonne im Herzen

    Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
    Ein Test von Peter Steinlechner

    1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
    2. Wearable Garmin Fenix 6 bekommt Solarstrom

    Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
    Galaxy Fold im Hands on
    Samsung hat sein faltbares Smartphone gerettet

    Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
    Ein Hands on von Tobias Költzsch

    1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
    2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
    3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

    1. Lufttaxi: Volocopter hebt in Stuttgart ab
      Lufttaxi
      Volocopter hebt in Stuttgart ab

      In Stuttgart ist der Volocopter erstmals in einer europäischen Innenstadt abgehoben. Rund vier Minuten befand sich das Flugtaxi in der Luft. Für kommerzielle Flüge fehlt jedoch noch die Genehmigung.

    2. Pixel: Googles neue Kamera-App vom Pixel 4 geleakt
      Pixel
      Googles neue Kamera-App vom Pixel 4 geleakt

      Programmierer haben sich die geleakte neue Version von Googles Kamera-App genauer angeschaut und einige Verbesserungen in der Benutzerführung entdeckt. Zudem sollen Nutzer die automatischen Hinweise während der Aufnahme abschalten können.

    3. Wikileaks: Assange kommt nicht frei
      Wikileaks
      Assange kommt nicht frei

      Eigentlich endet Julian Assanges Freiheitsstrafe am 22. September. Eine Richterin entschied jedoch, dass er auch nach dem Verbüßen seiner Haftstrafe im Gefängnis bleiben muss.


    1. 15:47

    2. 15:11

    3. 14:49

    4. 13:52

    5. 13:25

    6. 12:52

    7. 08:30

    8. 18:01