fognet
23.03.2016
view1730
view3
1
Goto Top

StartSSL: Fehler öffnete Tür und Tor für Zertifikats-Missbrauch

AllgemeinSicherheitVerschlüsselung, Zertifikate
Ein Grund mehr auf Lets Encrypt zu wechseln;)

http://www.heise.de/newsticker/meldung/StartSSL-Fehler-oeffnete-Tuer-un ...
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 299941

Url: https://administrator.de/contentid/299941

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
Lochkartenstanzer
Lochkartenstanzer 24.03.2016 aktualisiert um 05:40:46 Uhr
Goto Top
Zitat von @fognet:

Ein Grund mehr auf Lets Encrypt zu wechseln;)

Naja, die haben dann dafür andere Macken, die noch nicht bekannt sind.

Als Berufs-Paranoiker behaupte ich, daß jede CA, die nicht unter der eigenen Kontrolle steht sich grundsätzlich mißbrauchen läßt.

lks
DerWoWusste
DerWoWusste 24.03.2016 um 13:27:37 Uhr
Goto Top
Um das behaupten zu können, muss man keine Paranoia haben. Der Ersteller kann immer die Keys recovern, er hat den data recovery agent.
agowa338
agowa338 24.03.2016 aktualisiert um 14:30:37 Uhr
Goto Top
Das war nur ein kleiner Bug und es konnten lt. Stellungnahme keine Falschen Zertifikate ausgestellt werden:
Update: 13:30, 23.3.2016: Die Firma StartCom, Eigentümer der StartSSL CA, erklärt in einer Stellungnahme, dass die von dem Formular empfangene E-Mail-Adresse sehr wohl gecheckt werde. Dass eine Umleitung der Verfikations-E-Mail möglich gewesen sei, bestreitet die Firma dabei nicht. Doch zur Kontrolle der Eigentümerschaft ungeeignete E-Mail-Adressen würden im Zuge der Testprozedur verworfen. In dem von Almanna durchgeführten Tests verwendete dieser demnach eine Hotmail-Adresse, die im WHOIS-Eintrag für die Domain gelistet ist. Nur deshalb sei die erfolgte Umleitung erfolgreich gewesen.
AllgemeinSicherheitVerschlüsselung, Zertifikate
Mehr von fognetfognetNachspiel einer fatalen Panne: Symantec verkauft Zertifikatssparte an DigiCertfognetfognetCertificate Transparency: Webanwendungen hacken bevor sie installiert sindfognetfognetHow I tricked Symantec with a Fake Private Key - Hanno s blogfognet - 1 KommentarfognetSambaCry: Erste Angriffe auf Linux-NAS-Boxen gesichtetfognet - 8 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare