Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Let's Encrypt: Immer mehr Phishing…

Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: divStar 28.03.17 - 17:17

    Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate links und rechts verteilt und so Phishingseiten "vertrauenswürdiger" erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man irgendeinen Blödsinn mit der eigenen Domain treibt).

  2. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: c3rl 28.03.17 - 17:21

    Es ist nicht das Problem einer CA, wenn jemand in den Besitz einer echt anmutenden Domain gelangt, sondern das des Domain-Registrars. Lets Encrypt hier schuldig zu sprechen wäre so wie Kinderpornographie mit Stoppschildern zu bekämpfen: man verschließt seine Augen vor dem eigentlichen Problem um sagen zu können, man hätte was dagegen getan.

  3. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: youcantstartvim 28.03.17 - 17:22

    Für die Domain paypal-blablabla.de kriegst du bei fast jedem Anbieter ein Zertifikat. Die prüfen eine abgelegte Textdatei und gut. Das Zertifikat bescheinigt dir dabei nicht die Echtheit der Organisation, sondern dass der Inhalt wirklich von Server kommt, der zum Zeitpunkt der Prüfung die Domain hatte.

    "Richtige" Prüfungen der Organisation Kosten weit mehr, sind aber bei einfachen bis mittelständischen Projekten leider die Ausnahme.

  4. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Riff Raff 28.03.17 - 17:28

    Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr, gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld zurück?
    Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten Gegenstelle gehört - nicht mehr und nicht weniger.
    Übrigens überprüft keine CA die Inhalte der Webservices für die das Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der Pflicht gesehen wird verstehe ich nicht.

  5. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: maverick1977 28.03.17 - 17:33

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    Frage ich mich auch gerade.

  6. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: slashwalker 28.03.17 - 17:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Die "großen" prüfen auch nicht mehr. Du bekommst eine Mail an hostmaster@ oder webmaster@ mit einem Bestätigungslink. That's it.

    Und die Kosten sind keine wirkliche Hürde. Ich bekomme ein Comodo 3 Jahres Zertifikat für unter 30¤.

  7. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Hotohori 28.03.17 - 18:00

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn
    > Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr,
    > gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld
    > zurück?
    > Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation
    > zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls
    > sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten
    > Gegenstelle gehört - nicht mehr und nicht weniger.
    > Übrigens überprüft keine CA die Inhalte der Webservices für die das
    > Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    +1

    Von daher ist die Forderung da in der News purer Schwachsinn und Let's Encrypt hat mit seinem Statement dazu absolut recht.

    SSL ist nicht dazu da damit Internet Nutzer ihr Gehirn abschalten können.

  8. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Thiesi 28.03.17 - 20:18

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn

    LOL - also würde Mozilla ihre "eigene" CA auslisten?



    1 mal bearbeitet, zuletzt am 28.03.17 20:19 durch Thiesi.

  9. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: RichardEb 28.03.17 - 21:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Geh mit gutem Beispiel voran und entferne die betreffenden CAs aus deinem Rechner. Hier eine vollständige Liste: https://www.tractis.com/help/?p=3670

    Sämtliche CAs prüfen Domain Validation Certificates auf diese Weise. Das ist in den entsprechenden CA-Regeln auch so festgelegt.

  10. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: uschatko 29.03.17 - 00:01

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn

    Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein grünes Schloss ist alles gut. Das dem nicht so ist wissen Oma und Opa nicht. Die vertrauen dem grünen Symbol und das war es, vielleicht sollte man nicht immer von den 30 jährigen Digital-Natives ausgehen sondern auch mal an seine Nachbarn und Verwandten denken?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Deutsche Bank AG, Frankfurt am Main
  2. Dataport, Hamburg
  3. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  4. Robert Bosch Start-up GmbH, Ludwigsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 59,00€ (Vorbesteller-Preisgarantie)
  2. 15,99€
  3. 1,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Interview auf Youtube: Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020
    Interview auf Youtube
    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

    Bundeskanzlerin Angela Merkel hat sich doch noch nicht von dem Ziel verabschiedet, dass bis 2020 eine Million Elektroautos auf deutschen Straßen fahren sollen. Zudem verriet sie in einem Interview mit Youtubern endlich ihr Lieblings-Emoji.

  2. Ransomware: Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar
    Ransomware
    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

    Die dänische Reederei rechnet mit Kosten und Umsatzeinbußen von 200 bis 300 Millionen US-Dollar durch den Not-Petya-Angriff. Die Verluste sollen vor allem in der Bilanz des dritten Quartals anfallen.

  3. Spielebranche: Mikrotransaktionen boomen zulasten der Kaufspiele
    Spielebranche
    Mikrotransaktionen boomen zulasten der Kaufspiele

    Gamescom 2017 Die Spielebranche in Deutschland konnte im ersten Halbjahr 2017 um rund 11 Prozent zulegen. Fans klassischer Vollpreistitel müssen sich trotzdem Sorgen machen - trotz guter Neuerscheinungen verliert das Segment auffallend stark.


  1. 16:57

  2. 16:25

  3. 16:15

  4. 15:32

  5. 15:30

  6. 15:02

  7. 14:49

  8. 13:50