Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Let's Encrypt: Immer mehr Phishing…

Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

  1. Thema

Neues Thema Ansicht wechseln


  1. Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: divStar 28.03.17 - 17:17

    Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate links und rechts verteilt und so Phishingseiten "vertrauenswürdiger" erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man irgendeinen Blödsinn mit der eigenen Domain treibt).

  2. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: c3rl 28.03.17 - 17:21

    Es ist nicht das Problem einer CA, wenn jemand in den Besitz einer echt anmutenden Domain gelangt, sondern das des Domain-Registrars. Lets Encrypt hier schuldig zu sprechen wäre so wie Kinderpornographie mit Stoppschildern zu bekämpfen: man verschließt seine Augen vor dem eigentlichen Problem um sagen zu können, man hätte was dagegen getan.

  3. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: youcantstartvim 28.03.17 - 17:22

    Für die Domain paypal-blablabla.de kriegst du bei fast jedem Anbieter ein Zertifikat. Die prüfen eine abgelegte Textdatei und gut. Das Zertifikat bescheinigt dir dabei nicht die Echtheit der Organisation, sondern dass der Inhalt wirklich von Server kommt, der zum Zeitpunkt der Prüfung die Domain hatte.

    "Richtige" Prüfungen der Organisation Kosten weit mehr, sind aber bei einfachen bis mittelständischen Projekten leider die Ausnahme.

  4. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Riff Raff 28.03.17 - 17:28

    Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr, gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld zurück?
    Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten Gegenstelle gehört - nicht mehr und nicht weniger.
    Übrigens überprüft keine CA die Inhalte der Webservices für die das Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der Pflicht gesehen wird verstehe ich nicht.

  5. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: maverick1977 28.03.17 - 17:33

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    Frage ich mich auch gerade.

  6. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: slashwalker 28.03.17 - 17:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Die "großen" prüfen auch nicht mehr. Du bekommst eine Mail an hostmaster@ oder webmaster@ mit einem Bestätigungslink. That's it.

    Und die Kosten sind keine wirkliche Hürde. Ich bekomme ein Comodo 3 Jahres Zertifikat für unter 30¤.

  7. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Hotohori 28.03.17 - 18:00

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn
    > Du bei einem Onlineshop etwas kaufst und der Shop haut Dich übers Ohr,
    > gehst Du dann an den Aussteller des Zertifikats und möchtest Dein Geld
    > zurück?
    > Ein SSL-Zertifikat hat einzig und allein die Aufgabe die Komunikation
    > zwischen zwei Punkten zu verschlüsseln und dabei wird ebenfalls
    > sichergestellt dass das genutzte Zertifikat wirklich zur gewünschten
    > Gegenstelle gehört - nicht mehr und nicht weniger.
    > Übrigens überprüft keine CA die Inhalte der Webservices für die das
    > Zertifikat ausgestellt wird, wieso Let's Encrypt als einziger hier in der
    > Pflicht gesehen wird verstehe ich nicht.

    +1

    Von daher ist die Forderung da in der News purer Schwachsinn und Let's Encrypt hat mit seinem Statement dazu absolut recht.

    SSL ist nicht dazu da damit Internet Nutzer ihr Gehirn abschalten können.

  8. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: Thiesi 28.03.17 - 20:18

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn

    LOL - also würde Mozilla ihre "eigene" CA auslisten?



    1 mal bearbeitet, zuletzt am 28.03.17 20:19 durch Thiesi.

  9. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: RichardEb 28.03.17 - 21:52

    divStar schrieb:
    --------------------------------------------------------------------------------
    > Ich meine.. wenn diese Zertifizierungsstelle Schmu ist und SSL-Zertifikate
    > links und rechts verteilt und so Phishingseiten "vertrauenswürdiger"
    > erscheinen lässt, dann sollte man die einfach auslisten und fertig. Denn
    > vertrauenswürdig ist so etwas nicht. Nebenbei bemerkt finde ich es gut wenn
    > SSL-Zertifikate etwas kosten, denn dann ist die initiale Hürde größer und
    > der Verlust tut monetär etwas mehr weh (was eben der Fall ist wenn man
    > irgendeinen Blödsinn mit der eigenen Domain treibt).

    Geh mit gutem Beispiel voran und entferne die betreffenden CAs aus deinem Rechner. Hier eine vollständige Liste: https://www.tractis.com/help/?p=3670

    Sämtliche CAs prüfen Domain Validation Certificates auf diese Weise. Das ist in den entsprechenden CA-Regeln auch so festgelegt.

  10. Re: Dann werden Zertifikate der Zertifizierungsstelle einfach als unsicher markiert...

    Autor: uschatko 29.03.17 - 00:01

    Riff Raff schrieb:
    --------------------------------------------------------------------------------
    > Genau da ist der Denkfehler. Ein SSL Zertifikat ist und war nie dafür
    > gedacht eine Website per se als sicher oder unsicher zu deklarieren. Wenn

    Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein grünes Schloss ist alles gut. Das dem nicht so ist wissen Oma und Opa nicht. Die vertrauen dem grünen Symbol und das war es, vielleicht sollte man nicht immer von den 30 jährigen Digital-Natives ausgehen sondern auch mal an seine Nachbarn und Verwandten denken?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HerkulesGroup Services GmbH, Burbach
  2. über JBH-Management- & Personalberatung Herget, keine Angabe
  3. mateco GmbH, Stuttgart
  4. dSPACE GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 3,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Ryzen V1000 und Epyc 3000 AMD bringt Zen-Architektur für den Embedded-Markt
  2. Raven Ridge AMD verschickt CPUs für UEFI-Update
  3. Krypto-Mining AMDs Threadripper schürft effizient Monero

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

  1. VBB Fahrcard: E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht
    VBB Fahrcard
    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

    Rund sechseinhalb Jahre nach dem Beginn des E-Ticket-Projekts in Berlin und Brandenburg wird in der Hauptstadt die Selbstkontrolle in Bussen zur Pflicht. Ohne korrektes Piepen geht es nur noch mit dem Handy-Ticket und Papierfahrausweisen.

  2. Glasfaser: M-net schließt weitere 75.000 Haushalte an
    Glasfaser
    M-net schließt weitere 75.000 Haushalte an

    Bei M-net ist die Winterpause vorbei. Bagger rollen und schließen weitere Haushalte kostenfrei mit FTTB/H an.

  3. Pwned Passwords: Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes
    Pwned Passwords
    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

    Bei HaveIBeenPwned können Nutzer aktuell rund eine halbe Milliarde Passwort-Hashes herunterladen. Damit könnten sie Dienste in die Lage versetzen, geleakte Passwörter abzulehnen.


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15