Neuer SSL-Gau: Falsches Google-Zertifikat und Apple reagiert mal wieder nicht

Also in meinem Schlüsselbund ist zwar ein Zertifikat von DigiNotar enthalten. Es stammt aber aus dem Jahr 2007. Ausserdem wird es von GoogleMail z.B. bei mir überhaupt nicht genutzt. Da kommt eines von Thawte.
 
Im Schlüsselbund ist das Zertifikat DigiNotar Root CA zu finden unter System-Roots, nicht unter Zertifikate:
 
Was soll denn das Apple Bashing wieder?
Wenn mn sich nur oberflächlich informiert weiss man das Opera, IE und Safari selbst bereits CRLs lesen und daher nichts getan werden muss.
Hauptsache man hat sich aufgeregt :)
 
Wenn ich das hier lese, frage ich mich ob die meisten überhaupt wissen wie SSL funktioniert und was CRLs sind.

Ich kann nur sagen, wenn eine Firma das Vertrauen aufgebaut hat, um in Browser, Betriebssysteme direkt eingebaut wird und ihr prinzipiell vertraut wird. Diese Firma dann bereits am 19. Juli einen Einbruch ihn ihre Systeme hatte (Quelle: http://www.vasco.com/company/press_...news_diginotar_reports_security_incident.aspx). Dazu nichts veröffentlicht, also pro-aktiv damit umgeht, und nun behauptet alles getan zu haben, die hat ihr Vertrauen komplett verspielt. Gerade in diesem Bereich. Da nützt es auch nichts, dass sie nun behaupten mittels CRLs einzelne Zertifikate ungültig zu machen. Vor allem, hat sich gerade die letzten Tage gezeigt, dass sie immer noch nicht offen mit der Sachen umgehen. Im Gegenteil inzwischen sogar sagen, dass 95% der Anwender die Fehlermeldungen doch eh wegklicken. Sorry.

Wie gut die CRLs funktionieren, sieht man im übrigen daran, dass die meisten Broswer (bis auf Opera) keine Fehlermeldung auswerfen, wenn eine CRL nicht erreichbar ist (siehe hier: http://www.heise.de/newsticker/meldung/CA-Hack-Noch-mehr-falsche-Zertifikate-1334098.html)

Generell: Einer solchen Firma, die in diesem Bereich eine so schlechte Kommunikation hinlegt, werde ich auch nicht ihrer CRL vertrauen. Dieses Vertrauen ist verspielt und ihr Root-Zertifikat sowie ihre Intermediate-Zertifikate sind auf den von mir verwalteten Systemen für ungültig erklärt.
 
Das sehe ich auch so. Diese CA ist wahrscheinlich tot.
Aber wie kommst Du darauf die wären pro-aktiv damit umgegangen? Ich finde das Verheimlichen nicht proaktiv :(
 
...insbesondere da doch so alles heile Welt ist, weil wir ja CRLs haben...

Du nutzt keine SSL-Verbindung? Da kann natürlich jeder im Netzwerk Deine Mails und Kennwörter mitlesen ...

Viele Macuser wähnen sich auf die Insel der Glückseeligen und haben noch nicht mal die rudimentärsten Kenntnisse von Netzwerksicherheit. Schließlich wird ja an allen Ecken erzählt, dass OSX sicher ist und man sich um nix sorgen / kümmern muss.

Aber dass man ohne SSL beim Mailabruf jedem 08/15 Man in the middle seine Passwörter im Klartext in den Rachen wirft, interessiert keinen :noplan:
 
Zurück
Oben Unten