79564
Nov 27, 2009, updated at 09:27:58 (UTC)
4044
4
1
Hacker mit echten Zertifikaten
Verständnissproblem mti Zertifikaten
Hallo zusammen,
n, da ich seit neuestem ne Firewall habe, welche den SSL Traffic scannt.
Und nun bin ich auf die Frage gestossen:
Was hindert einen Hacker daran eine Fishing seite mit einem echten Zertifikat auszustatten?
Nur bei den teuersten Zertifikaten wir ja die Firma im Hintergrund geprüft.
Muss ich also immer auf das Zertifikat achten für welche Person es ausgestellt ist, jedoch kann man auch da bescheissen...
oder wie funktioniert das?
Grüsse
Lupita
n, da ich seit neuestem ne Firewall habe, welche den SSL Traffic scannt.
Und nun bin ich auf die Frage gestossen:
Was hindert einen Hacker daran eine Fishing seite mit einem echten Zertifikat auszustatten?
Nur bei den teuersten Zertifikaten wir ja die Firma im Hintergrund geprüft.
Muss ich also immer auf das Zertifikat achten für welche Person es ausgestellt ist, jedoch kann man auch da bescheissen...
oder wie funktioniert das?
Grüsse
Lupita
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Biber am Nov 27, 2009 um 09:25:17 Uhr
Verständnissproblem mti Zertifikaten
Ja, das Angebot: "Kiste Becks für 3 deutsche Hauptworte mit der Endung ~niss gilt nach wie vor.Nein, für so übervorsichtige Versuchsballons fehlt mir das Verständniss.
Und bringt auch im Ergebniss nix. Also ein bisschen mehr Kreativität bitte.
No wagniss, no fun, wie der Brite/die Britt sagt.
Ich bin mich momentan ein wenig mit den Zertifikaten am beschäftigen
Hör' ich da den Jürgen von Manger am Durchrheinländern? 
Content-Key: 130384
Url: https://administrator.de/contentid/130384
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Ein Zertifikat ist nur dann gültig und vertrauenswürdig, so lange die Zertifizierungskette nicht unterbrochen ist. Und man bekommt ein Zertifikat ja nicht einfach so. Zumindest wird die Identität des zukünftigen Inhabers bzw. des Servers geprüft. Insofern lässt sich über das Zertifikat herausfinden, wer Schindluder betreiben will.
Bei selbst erstellten Zertifikaten ist für "fremde" in aller Regel die Kette nicht gültig und das Zertifikat wird abgelehnt.
Siehe dazu auch Wikipedia
Bei selbst erstellten Zertifikaten ist für "fremde" in aller Regel die Kette nicht gültig und das Zertifikat wird abgelehnt.
Siehe dazu auch Wikipedia
Dann wir bei jeder Zertifikatausstellung ohnehin eine Personenprüfung durchgeführt..
aaa okee.. alles klar. danke
aaa okee.. alles klar. danke
Jein. Wie du dem o. a. Link entnehmen kannst hatte Verisign vor einiger Zeit in einem sehr prominenten Fall dabei einen Fehler gemacht und ein Zertifikat mal eben ausgestellt nur auf die Behauptung hin man sei von M$. In so einem Fall hat dann natürlich Verisign den schwarzen Peter und wäre, denke ich zumindest, auch haftbar dafür.
Das ist wie immer. Wo gearbeitet wird werden auch Fehler gemacht. Eine 100%ige Sicherheit und Fehlerfreiheit gibt es nicht. Man kann nur versuchen den best case hinzubekommen.
Das ist wie immer. Wo gearbeitet wird werden auch Fehler gemacht. Eine 100%ige Sicherheit und Fehlerfreiheit gibt es nicht. Man kann nur versuchen den best case hinzubekommen.
Hallo,
Witz bei den Zertifikaten ist, dass sie nur sicherstellen, dass der Server, den du in der URL angegeben hast auch wirklich der ist, der die Seite liefert. Sonst nichts! Wenn ich eine Seite m1crosoft.com aufsetze (okay, die Domain dürfte schon weg sein) bekomme ich problemlos ein Zertifikat dafür, ohne tatsächlich sagen zu müssen, wer ich bin.
Ein Zertifikat auf microsoft.com wird schon schwerer, aber es haben sich auch schon genug Schwachstellen in Algortihmen & Implementierungen gefunden, das passt schon.
Gruß
Filipp
Was hindert einen Hacker daran eine Fishing seite mit einem echten
Zertifikat auszustatten?
Absolut nichts. Ein Domain-Zertifikat (dem angeblich 99% der Browser trauen) bekommt man ohne irgendwelchen Papierkram, und das bei 90 Tagen Gültigkeit sogar umsonst.Zertifikat auszustatten?
Witz bei den Zertifikaten ist, dass sie nur sicherstellen, dass der Server, den du in der URL angegeben hast auch wirklich der ist, der die Seite liefert. Sonst nichts! Wenn ich eine Seite m1crosoft.com aufsetze (okay, die Domain dürfte schon weg sein) bekomme ich problemlos ein Zertifikat dafür, ohne tatsächlich sagen zu müssen, wer ich bin.
Ein Zertifikat auf microsoft.com wird schon schwerer, aber es haben sich auch schon genug Schwachstellen in Algortihmen & Implementierungen gefunden, das passt schon.
Gruß
Filipp
