Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Let's Encrypt: Immer mehr Phishing…

Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: divStar 28.03.17 - 17:17

    Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate links und rechts verteilt und so Phishingseiten "vertrauenswürdiger" erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man irgendeinen Blödsinn mit der eigenen Domain treibt).

  2. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: c3rl 28.03.17 - 17:21

    Es ist nicht das Problem einer CA, wenn jemand in den Besitz einer echt anmutenden Domain gelangt, sondern das des Domain-Registrars. Lets Encrypt hier schuldig zu sprechen wäre so wie Kinderpornographie mit Stoppschildern zu bekämpfen: man verschließt seine Augen vor dem eigentlichen Problem um sagen zu können, man hätte was dagegen getan.

  3. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: youcantstartvim 28.03.17 - 17:22

    Für die Domain paypal-blablabla.de kriegst du bei fast jedem Anbieter ein Zertifikat. Die prüfen eine abgelegte Textdatei und gut. Das Zertifikat bescheinigt dir dabei nicht die Echtheit der Organisation, sondern dass der Inhalt wirklich von Server kommt, der zum Zeitpunkt der Prüfung die Domain hatte.

    "Richtige" Prüfungen der Organisation Kosten weit mehr, sind aber bei einfachen bis mittelständischen Projekten leider die Ausnahme.

  4. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Riff Raff 28.03.17 - 17:28

    Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr, gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld zurück?
    Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten Gegenstelle gehört - nicht mehr und nicht weniger.
    Übrigens überprüft keine CA die Inhalte der Webservices für die das Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der Pflicht gesehen wird verstehe ich nicht.

  5. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: maverick1977 28.03.17 - 17:33

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    Frage ich mich auch gerade.

  6. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: slashwalker 28.03.17 - 17:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Die "großen" prüfen auch nicht mehr. Du bekommst eine Mail an hostmaster@ oder webmaster@ mit einem Bestätigungslink. That's it.

    Und die Kosten sind keine wirkliche Hürde. Ich bekomme ein Comodo 3 Jahres Zertifikat für unter 30¤.

  7. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Hotohori 28.03.17 - 18:00

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn
    > Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr,
    > gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld
    > zurück?
    > Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation
    > zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls
    > sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten
    > Gegenstelle gehört - nicht mehr und nicht weniger.
    > Übrigens überprüft keine CA die Inhalte der Webservices für die das
    > Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    +1

    Von daher ist die Forderung da in der News purer Schwachsinn und Let's Encrypt hat mit seinem Statement dazu absolut recht.

    SSL ist nicht dazu da damit Internet Nutzer ihr Gehirn abschalten können.

  8. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Thiesi 28.03.17 - 20:18

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn

    LOL - also würde Mozilla ihre "eigene" CA auslisten?



    1 mal bearbeitet, zuletzt am 28.03.17 20:19 durch Thiesi.

  9. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: RichardEb 28.03.17 - 21:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Geh mit gutem Beispiel voran und entferne die betreffenden CAs aus deinem Rechner. Hier eine vollständige Liste: https://www.tractis.com/help/?p=3670

    Sämtliche CAs prüfen Domain Validation Certificates auf diese Weise. Das ist in den entsprechenden CA-Regeln auch so festgelegt.

  10. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: uschatko 29.03.17 - 00:01

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn

    Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein grünes Schloss ist alles gut. Das dem nicht so ist wissen Oma und Opa nicht. Die vertrauen dem grünen Symbol und das war es, vielleicht sollte man nicht immer von den 30 jährigen Digital-Natives ausgehen sondern auch mal an seine Nachbarn und Verwandten denken?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Dataport, Hamburg, Altenholz bei Kiel
  2. Stadtwerke München GmbH, München
  3. Swyx Solutions AG, Dortmund
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 74,50€
  2. (u. a. Wolverine - Weg des Kriegers 3D, Wolverine 1&2, The Return of the First Avenger, Iron Man 1...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Hauptversammlung: Rocket Internet will eine Bank sein
    Hauptversammlung
    Rocket Internet will eine Bank sein

    Die Klonfabrik Rocket Internet will in neue Bereiche vordringen und wird Anfang Juni ihre Satzung ändern. Dann sind auch Finanzgeschäfte möglich.

  2. Alphabet: Google-Chef verdient 200 Millionen US-Dollar
    Alphabet
    Google-Chef verdient 200 Millionen US-Dollar

    Der relativ unbekannte Sundar Pichai ist der bestbezahlte Mitarbeiter von Alphabet. Pichai führt Google erst seit dem Konzernumbau.

  3. Analysepapier: Facebook berichtet offiziell von staatlicher Desinformation
    Analysepapier
    Facebook berichtet offiziell von staatlicher Desinformation

    Auf Facebook versuchen verschiedene Regierungen, auf die öffentliche Meinung Einfluss zu nehmen - das hat das soziale Netzwerk nun erstmals in einem Bericht eingeräumt. Gleichzeitig betont Facebook, dass es gegen derartige Machenschaften konsequent vorgehe.


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01