Verbindungen zum Onlinebanking, anderen Bezahldiensten, Webmailern, etc. werden per SSL abgesichert. Das hat zwei entscheidende Vorteile: 1. verschlüsselte Kommunikation, und 2. vertrauensvolle Kommunikation. Das Zertifikat des Webservers garantiert, dass es sich auch wirklich um diesen handelt. Ohne jetzt weiter in die Kryptographie einzusteigen, sei gesagt, dass dies seit dem OpenSSL-Debakel bei Debian nicht mehr uneingeschränkt gilt. Durch einen Fehler sind schwache Zertifikate generiert worden. Dies ermöglicht es den bösen Leuten die Identität eines anderen Webserver vorzutäuschen. Ist sich der Nutzer sicher, dass er mit seiner Bank verbunden ist, weil https:// vor der URI steht, und diese auch noch korrekt und selbst eingegeben ist, tippt der Nutzer tatsächliche seine PINs und TANs auf der Seite einer bulgarischen Verbrecherbande ein.

Schütz Dich vor unsicheren SSL-Verbindungen

Firefox 3.x prüft per OCSP, ob ein Zertifikat widerrufen wurde, und verfügt zusätzlich über Instant-ID. Doch führt die Liste nicht alle schwachen Zertifikate. Hier schaft das Addon / Erweiterung namens SSL-Blacklist Abhilfe. Auf der Seite von SSL-Blacklist findet man rechts unter INSTALL die Möglichkeit das Addons direkt zu installieren. Nach den Anklicken, muss man darauf achten die Warnmeldung von Firefox am oberen Seitenrand zu lesen, und die Installation zu erlauben. Nach einem Neustart von Firefox ist SSL-Blacklist aktiv und gleicht Zertifikate gegen ein schwarze Liste ab. Vielleicht ist jemandem aufgefallen, dass es zwei Versionen des Addons gibt. Die eine überprüft die Seiten live gegen eine online Blacklist, die andere Version bringt eine 30 MB große Blacklist mit.

Ab jetzt informiert SSL-Blacklist über Zertifikat, die nicht vom Debian-Problem betroffen sind:

Ganz im Gegenteil zu diesem Beispiel. Hier schlägt SSL-Blacklist Alarm:

Schutz für den Internet Explorer

Wie kann man jemandem, der tatsächlich mit dem Internet-Explorer surft, noch helfen? Zumindest in diesem Fall ist es möglich. Zu allererst sollte der Mutige in den Internet-Einstellungen die “Überprüfung auf zurückgezogene Zertifikate” aktivieren:

Und dann den c’t SSL-Wächter installieren.

Es sind nicht mehr allzu viele schwache Zertifikate im Umlauf. Besonders die renommierten Dienste, wie Banken, haben seit längerem ihre Zertifikate aktualisiert.

This entry was posted on Wednesday, July 23rd, 2008 at 23:27 and is filed under IT, Anleitungen. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.