{"id":188869,"date":"2017-04-02T01:29:00","date_gmt":"2017-04-01T23:29:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=188869"},"modified":"2024-07-12T11:54:49","modified_gmt":"2024-07-12T09:54:49","slug":"ssl-zertifikate-verwirrung-bei-lets-encrypt-und-symantec","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/04\/02\/ssl-zertifikate-verwirrung-bei-lets-encrypt-und-symantec\/","title":{"rendered":"SSL-Zertifikate-Verwirrung bei Let’s Encrypt und Symantec"},"content":{"rendered":"

Heute noch ein sonnt\u00e4gliches SSL-Informationsh\u00e4ppchen \u2013 momentan dr\u00e4ut \u00c4rger, weil Symantec und Let's Encrypt wohl bei SSL-Zertifikaten 'Probleme' bereiten.<\/p>\n

<\/p>\n

\"\"Momentan wird ja das hohe Lied der https-Verschl\u00fcsselung f\u00fcr Webseiten gesungen. Jede Site soll per https \u00fcbertragen werden, damit die Browser diese als sicher einstufen. Der Betreiber des Webangebots ben\u00f6tigt dazu ein SSL-Zertifikat, welches seine Authentizit\u00e4t best\u00e4tigt. Und da liegt der Hase im Pfeffer: Die SSL-Zertifikate kosten meist \u2013 es sei denn, man setzt auf Let's Encrypt. Und man m\u00fcsste sich sicher sein, dass der Zertifikatsinhaber der ist, f\u00fcr den er sich ausgibt. <\/p>\n

Google versus Symantec: da dr\u00e4ut \u00c4rger<\/h3>\n

Einige Nutzer von Webangeboten setzen auf von Symantec ausgestellte SSL-Zertifikate, um diese per https auszuliefern. In der Vergangenheit gab es aber immer wieder das Problem, dass Symantec Zertifikate unberechtigt ausstellte. Google hatte Symantec mehrfach darauf hingewiesen, den Prozess zur Zertifikatsausstellung zu verbessen, um Missbrauch zu verhindern. <\/p>\n

Aber erst die Ank\u00fcndigung von Google Entwicklern in diesem Beitrag<\/a> hat m\u00e4chtig Staub aufgewirbelt. Die Entwickler wollten von Symantec ausgestellte SSL-Zertifikate im Chrome-Browser zuk\u00fcnftig herabstufen. Bei InfoWorld erschien dieser Artikel<\/a>, der die Situation beleuchtet. Falls Google Chrome keine Extended Validation Zertifikate mehr akzeptiert, w\u00e4re dies ein Problem f\u00fcr Nutzer und Symantec selbst. <\/p>\n

Aktuell scheint aber wieder das Signal auf Entspannung zu stehen. Wie heise.de hier berichtet<\/a>, soll der Chrome-Browser aktuell keine Symantec-Zertifikate herabstufen. Das Ganze gilt wohl bis zum Abschluss der Verhandlungen zwischen Google, und Symantecs Zertifizierungsstellen (CA). F\u00fcr Websitebetreiber bedeutet dies, dass sie erst einmal nicht reagieren m\u00fcssen. Das Thema k\u00f6nnte aber wieder hoch kochen, wenn es keine Einigung gibt. <\/p>\n

Let's Encrypt gibt tausende SSL Zertifikate f\u00fcr PayPal-Phisher aus<\/h3>\n

Ich stehe hier im Blog ja vor der Frage, auf https umzustellen. Ein SSL-Zertifikat von Let's Encrypt habe ich \u2013 momentan stelle ich nicht um, weil ich dann nicht mehr per Windows Live Writer meine Blog-Beitr\u00e4ge im Multisite-Blog einstellen kann. <\/p>\n

Aber ich frage mich, wie lange Let's Encrypt SLL-Zertifikate noch akzeptiert werden. Jeder, der eine Domain betreibt, kann sich ein Zertifikat f\u00fcr diese Domain ausstellen lassen. Diesem Beitrag<\/a> bei Bleeping Computer entnehme ich nun, dass Let's Encrypt im vergangenen Jahr insgesamt  15.270 SSL-Zertifikate ausgegeben hat, die das Wort PayPal enthalten. Davon wurden 14.,766 SSL-Zertifikate (96,7%) f\u00fcr Domains ausgegeben, auf denen Phishing ausging. Die Daten hat Vincent Lynch, Encryption-Exoperte von The SSL Store vor ein paar Tagen nach einer Analyse bekannt gegeben.<\/p>\n

Wenn also SSL-Zertifikate an jeden Domaininhaber ausgegeben werden, kommen wir zur Frage, wie man die SSL-Zertifikate \u00fcberpr\u00fcft. Ergebnis: Man kann eigentlich kaum \u00fcberpr\u00fcfen \u2013 es l\u00e4sst sich lediglich feststellen, dass der Websiteanbieter im Besitz eines SSL-Zertifikats ist, so dass die \u00dcbertragung zwischen Server und Clint SSL-verschl\u00fcsselt wird. Ob die Website sicher ist, ob da Malware lauert, ob ein Phisher dahinter steckt und ob das Zertifikat, welches behauptet \"wird von xyz betrieben\" wirklich xyz geh\u00f6rt, das bleibt unklar. SSL ist kaputt \u2013 eine Entwicklung, die von Experten vorausgesagt wurde. Und mit der Anzeige von http-Seiten als \"unsicher\", wie Firefox und Google Chrome das nun handhaben, wird die Entwicklung weiter befeuert. Oder wie seht ihr das? <\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein sonnt\u00e4gliches SSL-Informationsh\u00e4ppchen \u2013 momentan dr\u00e4ut \u00c4rger, weil Symantec und Let's Encrypt wohl bei SSL-Zertifikaten 'Probleme' bereiten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[984,6045,3086,3379,1468],"class_list":["post-188869","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-google-chrome","tag-lets-encrypt","tag-ssl","tag-symantec","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=188869"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188869\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=188869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=188869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=188869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}