fognet
23.03.2016
view1848
view3
1

StartSSL: Fehler öffnete Tür und Tor für Zertifikats-Missbrauch

AllgemeinVerschlüsselung, Zertifikate Sicherheit
Ein Grund mehr auf Lets Encrypt zu wechseln;)

heise.de/newsticker/meldung/StartSSL-Fehler-oeffnete-Tuer-und-To ...
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 299941

Url: https://administrator.de/forum/startssl-fehler-oeffnete-tuer-und-tor-fuer-zertifikats-missbrauch-299941.html

Ausgedruckt am: 19.07.2025 um 00:07 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
Lochkartenstanzer
Lochkartenstanzer 24.03.2016 aktualisiert um 05:40:46 Uhr
Goto Top
Zitat von @fognet:

Ein Grund mehr auf Lets Encrypt zu wechseln;)

Naja, die haben dann dafür andere Macken, die noch nicht bekannt sind.

Als Berufs-Paranoiker behaupte ich, daß jede CA, die nicht unter der eigenen Kontrolle steht sich grundsätzlich mißbrauchen läßt.

lks
DerWoWusste
DerWoWusste 24.03.2016 um 13:27:37 Uhr
Goto Top
Um das behaupten zu können, muss man keine Paranoia haben. Der Ersteller kann immer die Keys recovern, er hat den data recovery agent.
agowa338
agowa338 24.03.2016 aktualisiert um 14:30:37 Uhr
Goto Top
Das war nur ein kleiner Bug und es konnten lt. Stellungnahme keine Falschen Zertifikate ausgestellt werden:
Update: 13:30, 23.3.2016: Die Firma StartCom, Eigentümer der StartSSL CA, erklärt in einer Stellungnahme, dass die von dem Formular empfangene E-Mail-Adresse sehr wohl gecheckt werde. Dass eine Umleitung der Verfikations-E-Mail möglich gewesen sei, bestreitet die Firma dabei nicht. Doch zur Kontrolle der Eigentümerschaft ungeeignete E-Mail-Adressen würden im Zuge der Testprozedur verworfen. In dem von Almanna durchgeführten Tests verwendete dieser demnach eine Hotmail-Adresse, die im WHOIS-Eintrag für die Domain gelistet ist. Nur deshalb sei die erfolgte Umleitung erfolgreich gewesen.
AllgemeinVerschlüsselung, Zertifikate Sicherheit
Mehr von fognetfognetNachspiel einer fatalen Panne: Symantec verkauft Zertifikatssparte an DigiCertfognetfognetCertificate Transparency: Webanwendungen hacken bevor sie installiert sindfognetfognetHow I tricked Symantec with a Fake Private Key - Hanno s blogfognet - 1 KommentarfognetSambaCry: Erste Angriffe auf Linux-NAS-Boxen gesichtetfognet - 8 Kommentare
Heiß diskutiert
MysticFoxDERuckus - Das Security DesasterMysticFoxDE - 33 KommentareAbstrackterSystemimperatorEmpfehlung für einen passenden Monitor und eine Tastatur gesuchtAbstrackterSystemimperator - 32 KommentarePablo1978Stetige Netzwerktrennung am Windows 11 PCPablo1978 - 31 KommentarefritzoDiskussion: im Juni 2026 ablaufende SecureBoot-Zertifikate von Microsoftfritzo - 26 KommentareBernie24KVM over IPBernie24 - 24 KommentarekilltecHyper-VA HA Cluster Problem Live-Migrationkilltec - 22 KommentarekpunktDrucker funktioniert nur an 1 Netzwerkport nicht, andere Drucker schonkpunkt - 19 KommentareEl-TunoxNetzwerkfreigabe überschriebenEl-Tunox - 18 KommentareTschakalakaLAPS Umstellung - Probleme mit der Administratoranmeldung bei DomänenbenutzerTschakalaka - 17 Kommentare