Sicherheitsexperte Rodney Thayer von Canola & Jones hat bei einer Untersuchung von SSL-Zertifikaten auf Business-Websites herausgefunden, dass es mit deren Sicherheit nicht zum Besten bestellt ist. Thayer wird seine Ergebnisse Ende des Monats auf dem 25th Chaos Communication Congress (25C3) präsentieren.
Thayer fand unter anderem heraus, dass viele Webseiten noch unsichere 40-Bit-Zertifikate mit dem RC4-Algorithmus verwenden. Darüber hinaus stellte er fest, dass eine ganze Reihe von "Major Sites" das veraltete SSL2-Protokoll nutzen, das zahlreiche Angriffsmöglichkeiten bietet.
Bei Websites, die aktuelle und sichere Zertifikate verwenden, fand er viele Konfigurationsfehler, die das Zertifikat kompromittieren. Häufigster Fehler ist eine falsche URL der Website. Ein Anbieter, der sich beispielsweise ein Zertifikat auf www.store.com ausstellen lässt, darf diese Website nicht zusätzlich per SSL/TLS unter store.com anbieten. Von dieser Möglichkeit machen allerdings viele Betreiber Gebrauch, um den Komfort für Kunden zu erhöhen.
Auch ein ungültiges Zertifikat verschlüsselt die Daten zwischen Browser und Webserver, jedoch kann sich ein Datendieb per Man-in-the-Middle-Angriff unbemerkt einklinken und Zugangsdaten oder Kreditkarteninformationen verschaffen.
Thayer empfiehlt, Warnungen im Browser über Unregelmäßigkeiten bei Zertifikaten nicht einfach zu ignorieren, sondern ihnen genau nachzugehen. Oft ist das allerdings nicht möglich. Vor allem kleinere Websites erstellen ihre Zertifikate aus Kostengründen selbst mit OpenSSL. Deren Authentizität kann der Browser dann nicht überprüfen.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…