TLS des tages

„GoDaddy“ hat 8850 TLS-zertifikate ohne anständige domainüberprüfung rausgegeben. [Link geht zu guhgell groups, skriptalarm!] Die sind als CA in jedem brauser eingetragen, und es ist wohl möglich gewesen, sich da ein TLS-zertifikat für… sagen wir mal… guhgell, die deutsche bank, meikrosoft oder etwas ähnliches ausgeben zu lassen.

Our system automatically checks for the presence of that code via an HTTP and/or HTTPS request to the website. If the code is found, the domain control check is completed successfully. Prior to the bug, the library used to query the website and check for the code was configured to return a failure if the HTTP status code was not 200 (success). A configuration change to the library caused it to return results even when the HTTP status code was not 200. Since many web servers are configured to include the URL of the request in the body of a 404 (not found) response, and the URL also contained the random code, any web server configured this way caused domain control verification to complete successfully

Aber hej, „godaddy“ sagt, dass das nicht ausgebeutet wurde. Also nicht so, dass die es gemerkt hätten…

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an die bekweme sicherheit durch das kleine schlösschen im brauser! TLS ist schon lange tot.

via @benediktg5@twitter.com

Eine Antwort zu “TLS des tages

  1. Da merkt^^ sowieso keiner mehr was, ob gewollt oder ungewollt, vor lauter Gier. Aber dann, wie gerade hier, oder auch hier mit dem Finger auf Andere zeigen und herum heulen – diese Pussys!11 😈

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s