Abends.
Ein wenig "dünn", um darüber nachdenken zu wollen
Es geht weniger um das neue, sondern um das, was man bisher als eigentlich sicher betrachtet hat, gar nicht so sicher ist in Wirklichkeit.
Das Thema SSL zieht weitere Kreise. Leider sind die folgenden Quelle alle nur auf englisch erhältlich, ich versuche, es soweit wie möglich einfach zu übersetzen.
7 mögliche Fehler bei der SSL-Prüfung
https://www.cert.org/blogs/certcc/post.cfm?EntryID=221
1. Unvollständige oder nicht ausreichende Prüfung des Zertifikats.
2. Ergebnisse einer Zertifikatsprüfung werden nicht an den Client weitergegeben, Webinhalte schon.
3. Überfüllung des "Canonical Name (CN-Feld)" kann eine Warnung aussetzen.
4. Unterdrückung oder Fälschung einer Ergebnisseite zur Zertifikatsprüfung
5. Entscheidung einer Prüfung anhand des HTTP-Headers.
6. Die prüfende Software schickt dennoch die Anfragen/Daten an den Server, bevor die Meldung an Client ergeht.
7. Die prüfende Software installiert das gleiche Zertifikat für alle Anwendungen.
Ergebnis: der Benutzer bekommt keine oder falsche Warnungen, oder seine Daten werden dennoch missbraucht, zudem lässt sich das System sogar zentral manipulieren.
Ganz unten auf dieser Seite werden einige Hersteller aufgelistet, die eine SSL-Prüfung mittels Hard-oder Software anbieten und möglicherweise von einem oder mehreren Punkten betroffen sein könnten. Eine Nichtnennung muss nicht automatisch nicht betroffen bedeuten, wie das obige Beispiel Avast zeigt.
CloudFlare bietet seit kurzem "strict ssl" an.
https://www.cloudflare.com/features-cdn
CloudFlare ist ein CDN (Content Distribution Network), ein Anbieter für dezentral gelagerter Webinhalte, um möglichst schnellen Zugriff darauf zu ermöglichen
Content Delivery Network ? Wikipedia
Nicht zu verwechseln mit CloudFront, welches zur Amazon-Gruppe gehört, ebenfalls ein CDN, AWS | Amazon CloudFront CDN ? Netzwerk für die Bereitstellung von Inhalten & Streaming
Akamai ebenso http://www.akamai.de/ und andere.
Englischer Text mit Bildern erklärt:
https://blog.cloudflare.com/introdu...a-man-in-the-middle-attack-on-origin-traffic/
Die Bilder zeigen, dass es diverse Möglichkeiten bei SSL-Verbindungen gibt und wo mögliche Schachstellen sein könnten.
CloudFlare arbeitet bei "strict ssl" mit nur ganz wenigen Stammzertifikaten, um sicherzustellen, dass auch so gut wie niemand die Verbindung zum Server manipulieren kann. Allerdings dürfte "strict ssl" wohl nur bei bezahlten Kunden verfügbar sein.
In einem Gespräch mit einem Amerikaner - USA, das Land der unbegrenzten Möglichkeiten - könnte jener sich auch vorstellen, dass es auch irgendwann ein Gerichtsurteil gegen jemanden mit einer SSL-Prüfung geben könnte. Hintergrund seiner Überlegung, die ich momentan eher für sehr abwegig halte, dass einer seiner Bekannten für eine Bank arbeitet und dort die die forensische Abteilung leitet. Tritt ein Schadensfall ein, gilt der Kunde solange als schuldig, solange er nicht das Gegenteil beweisen kann. Dazu gehört natürlich die aktive Mitarbeit, also auch die Bereitsstellung aller genutzten Hard- und Software, die mit für den Schadensfall ursächlich gewesen sein könnte. Wird dabei festgestellt, dass der Betrug über eine manipulierte SSL-Prüfung stattfand, ist das entsprechend negativ auszulegen - für den Kunden, nicht für die Prüfsoftware/-hardware. D.h. der Kunde muss letztendlich selbst einen Prozess gegen den Hersteller anstreben und freilich auch beweisen, dass deren Soft-/Hardware der Auslöser war. Für Hersteller in den Ostblockstaaten dürfte das wohl reichlich schwierig bis unmöglich werden, und die bekannten Marken in den Staaten dürften die besseren Anwälte und Argumente haben.
MfG