Experte: SSL-Zertifikate im Netz sind oft nicht sicher

40-Bit-Zertifikate mit RC4 sind keine Seltenheit

Sicherheitsexperte Rodney Thayer von Canola & Jones hat bei einer Untersuchung von SSL-Zertifikaten auf Business-Websites herausgefunden, dass es mit deren Sicherheit nicht zum Besten bestellt ist. Thayer wird seine Ergebnisse Ende des Monats auf dem 25th Chaos Communication Congress (25C3) präsentieren.

Thayer fand unter anderem heraus, dass viele Webseiten noch unsichere 40-Bit-Zertifikate mit dem RC4-Algorithmus verwenden. Darüber hinaus stellte er fest, dass eine ganze Reihe von "Major Sites" das veraltete SSL2-Protokoll nutzen, das zahlreiche Angriffsmöglichkeiten bietet.

Bei Websites, die aktuelle und sichere Zertifikate verwenden, fand er viele Konfigurationsfehler, die das Zertifikat kompromittieren. Häufigster Fehler ist eine falsche URL der Website. Ein Anbieter, der sich beispielsweise ein Zertifikat auf www.store.com ausstellen lässt, darf diese Website nicht zusätzlich per SSL/TLS unter store.com anbieten. Von dieser Möglichkeit machen allerdings viele Betreiber Gebrauch, um den Komfort für Kunden zu erhöhen.

Auch ein ungültiges Zertifikat verschlüsselt die Daten zwischen Browser und Webserver, jedoch kann sich ein Datendieb per Man-in-the-Middle-Angriff unbemerkt einklinken und Zugangsdaten oder Kreditkarteninformationen verschaffen.

Thayer empfiehlt, Warnungen im Browser über Unregelmäßigkeiten bei Zertifikaten nicht einfach zu ignorieren, sondern ihnen genau nachzugehen. Oft ist das allerdings nicht möglich. Vor allem kleinere Websites erstellen ihre Zertifikate aus Kostengründen selbst mit OpenSSL. Deren Authentizität kann der Browser dann nicht überprüfen.

Themenseiten: Big Data, Datenschutz, Hacker, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Experte: SSL-Zertifikate im Netz sind oft nicht sicher

Kommentar hinzufügen
  • Am 22. Dezember 2008 um 19:08 von Günter H.

    SSL-Zertifikate im Netz sind oft nicht sicher
    Lieber Christoph Hochstätter, dieser Artikel gehört nicht auf den weihnachtlichen Gabentisch. Er verdirbt mir beim Internet-Banking und anderen subtilen Aktionen total die Laune. Gibt es keine positiven Meldungen, die in die Adventszeit passen ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *