fognet
Goto Top

StartSSL: Fehler öffnete Tür und Tor für Zertifikats-Missbrauch

Content-ID: 299941

Url: https://administrator.de/forum/startssl-fehler-oeffnete-tuer-und-tor-fuer-zertifikats-missbrauch-299941.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 24.03.2016 aktualisiert um 05:40:46 Uhr
Goto Top
Zitat von @fognet:

Ein Grund mehr auf Lets Encrypt zu wechseln;)

Naja, die haben dann dafür andere Macken, die noch nicht bekannt sind.

Als Berufs-Paranoiker behaupte ich, daß jede CA, die nicht unter der eigenen Kontrolle steht sich grundsätzlich mißbrauchen läßt.

lks
DerWoWusste
DerWoWusste 24.03.2016 um 13:27:37 Uhr
Goto Top
Um das behaupten zu können, muss man keine Paranoia haben. Der Ersteller kann immer die Keys recovern, er hat den data recovery agent.
agowa338
agowa338 24.03.2016 aktualisiert um 14:30:37 Uhr
Goto Top
Das war nur ein kleiner Bug und es konnten lt. Stellungnahme keine Falschen Zertifikate ausgestellt werden:
Update: 13:30, 23.3.2016: Die Firma StartCom, Eigentümer der StartSSL CA, erklärt in einer Stellungnahme, dass die von dem Formular empfangene E-Mail-Adresse sehr wohl gecheckt werde. Dass eine Umleitung der Verfikations-E-Mail möglich gewesen sei, bestreitet die Firma dabei nicht. Doch zur Kontrolle der Eigentümerschaft ungeeignete E-Mail-Adressen würden im Zuge der Testprozedur verworfen. In dem von Almanna durchgeführten Tests verwendete dieser demnach eine Hotmail-Adresse, die im WHOIS-Eintrag für die Domain gelistet ist. Nur deshalb sei die erfolgte Umleitung erfolgreich gewesen.