StartSSL: Fehler öffnete Tür und Tor für Zertifikats-Missbrauch
Ein Grund mehr auf Lets Encrypt zu wechseln;)
http://www.heise.de/newsticker/meldung/StartSSL-Fehler-oeffnete-Tuer-un ...
http://www.heise.de/newsticker/meldung/StartSSL-Fehler-oeffnete-Tuer-un ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299941
Url: https://administrator.de/forum/startssl-fehler-oeffnete-tuer-und-tor-fuer-zertifikats-missbrauch-299941.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
3 Kommentare
Neuester Kommentar
Naja, die haben dann dafür andere Macken, die noch nicht bekannt sind.
Als Berufs-Paranoiker behaupte ich, daß jede CA, die nicht unter der eigenen Kontrolle steht sich grundsätzlich mißbrauchen läßt.
lks
Das war nur ein kleiner Bug und es konnten lt. Stellungnahme keine Falschen Zertifikate ausgestellt werden:
Update: 13:30, 23.3.2016: Die Firma StartCom, Eigentümer der StartSSL CA, erklärt in einer Stellungnahme, dass die von dem Formular empfangene E-Mail-Adresse sehr wohl gecheckt werde. Dass eine Umleitung der Verfikations-E-Mail möglich gewesen sei, bestreitet die Firma dabei nicht. Doch zur Kontrolle der Eigentümerschaft ungeeignete E-Mail-Adressen würden im Zuge der Testprozedur verworfen. In dem von Almanna durchgeführten Tests verwendete dieser demnach eine Hotmail-Adresse, die im WHOIS-Eintrag für die Domain gelistet ist. Nur deshalb sei die erfolgte Umleitung erfolgreich gewesen.