TLS des tages

Eine Google-Mitarbeiterin hat den In-Flight-Internetdienst Gogo dabei erwischt, wie er ihr ein gefälschtes SSL-Zertifikat untergeschoben hat

Auch weiterhin viel spaß bei der gefühlten sicherheit, wenn ein kleines schlösschen neben der adresszeile des brausers „sicherheit“ verspricht¹! So lange irgendwelche klitschen standardmäßig im brauser als CA eingetragen sind (meist, weil sie dafür bezahlt haben) und jede dieser klitschen (und etliche staatliche organisazjonen dazu) ohne sichtbare warnung für jede seite kryptografische zertifikate ausstellen kann, so lange ist das mitschneiden und manipulieren des internetverkehrs kein problem.

Und hej, der träffick soll ein problem sein? Ich habe schon selfies aus einer erdumlaufbahn gesehen… auch weiterhin viel spaß dabei, den internetz-proweidern zu vertrauen, wenn sie etwas in die mikrofone rülpsen, nachdem sie bei irgendeiner sauerei ertappt wurden!

Schneller Nachtrag, 18:52 Uhr: Was bei heise onlein nicht klar wird, sagen uns die kommentatoren bei golem. Das zertifikat war nicht von einer CA signiert, sondern einfach von „gogo“ erstellt. Jeder brauser dieser welt sollte da einen deutlichen alarm geben. (Danke, Koffeingeladen, für den hinweis!)

¹Faustregel: immer, wenn kryptografie einfach in der anwendung ist, taugt sie nichts!

2 Antworten zu “TLS des tages

  1. Wie auch in den Golem-Kommentaren sollte darauf hingewiesen werden, dass ein Zertifikat genutzt wurde, welches nicht mal von einer CA signiert war, ich kenne keinen Browser, der eine solche Verbindung aufbauen würde, wenn man ihn nicht erst überredet.

  2. Pingback: FUD des tages | Schwerdtfegr (beta)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.