PRISM und Tempora sei Dank ist die Presse gerade sehr auf der Lauer. Das ist an sich zu begrüßen. Allerdings schaffen es interessanterweise häufig die halbgaren, aber umso reißerisch klingenden Geschichten auf die virtuellen Titelblätter. Aktuell liest man von dynamischen Microsoft Zertifikatsupdates die die Sicherheit gefährden. Doch ist das wirklich so?
Ruft man eine Webseite über eine verschlüsselte Verbindung auf, so weist sich diese mit einem Zertifikat aus. In diesem Zertifikat ist kryptografisch abgesichert hinterlegt, wer dieses Zertifikat ausgestellt hat. Eine Stelle die Zertifikate vergibt nennt sich Certification Authority, kurz CA. Hinter den CAs stehen meist Unternehmen. Es gibt aber auch alternative Programme wie cacert.org.
In jedem Browser (Internet Explorer, Firefox, Safari, Opera, etc) ist standardmäßig eine Liste von vertrauenswürdig eingestuften CAs hinterlegt. Ruft man nun eine verschlüsselte Seite auf wird durch den Browser aus dem Zertifikat extrahiert, welche CA das Zertifikat ausgestellt hat und überprüft, ob das Zertifikat der CA als vertrauenswürdig im Browser hinterlegt ist. Wenn ja, wird die Seite angezeigt. Wenn nein, zeigt der Browser eine Fehlermeldung die mehr oder minder verständlich mitteilt, dass der CA nicht vertraut wird. Vorteil: Man muss nicht die Identität jeder Seite einzeln Prüfen. Das hat die CA der man vertraut ja bereits erledigt. Das Ganze nennt man Public-Key-Infrastructure (PKI).
Ruft man im kritisierten Fall nun eine Seite auf, deren CA zwar der Browserhersteller Microsoft als vertrauenswürdig eingestuft hat, jedoch noch nicht auf dem Rechner des Nutzers vorhanden ist, so fragt der Browser diese Information beim Hersteller ab und installiert das Zertifikat nach. Das ist genauso gut oder schlecht wie wenn das Zertifikat der CA von Anfang an im Browser gewesen wäre. Man vertraut der Expertise des Herstellers und dem Hersteller selbst, welche CAs er aufnimmt.
Welche Voraussetzungen es benötigt um die Funktionalität zu missbrauchen, wird im TC-Blog ausführlich erläutert.
Ruft man eine Webseite über eine verschlüsselte Verbindung auf, so weist sich diese mit einem Zertifikat aus. In diesem Zertifikat ist kryptografisch abgesichert hinterlegt, wer dieses Zertifikat ausgestellt hat. Eine Stelle die Zertifikate vergibt nennt sich Certification Authority, kurz CA. Hinter den CAs stehen meist Unternehmen. Es gibt aber auch alternative Programme wie cacert.org.
In jedem Browser (Internet Explorer, Firefox, Safari, Opera, etc) ist standardmäßig eine Liste von vertrauenswürdig eingestuften CAs hinterlegt. Ruft man nun eine verschlüsselte Seite auf wird durch den Browser aus dem Zertifikat extrahiert, welche CA das Zertifikat ausgestellt hat und überprüft, ob das Zertifikat der CA als vertrauenswürdig im Browser hinterlegt ist. Wenn ja, wird die Seite angezeigt. Wenn nein, zeigt der Browser eine Fehlermeldung die mehr oder minder verständlich mitteilt, dass der CA nicht vertraut wird. Vorteil: Man muss nicht die Identität jeder Seite einzeln Prüfen. Das hat die CA der man vertraut ja bereits erledigt. Das Ganze nennt man Public-Key-Infrastructure (PKI).
Ruft man im kritisierten Fall nun eine Seite auf, deren CA zwar der Browserhersteller Microsoft als vertrauenswürdig eingestuft hat, jedoch noch nicht auf dem Rechner des Nutzers vorhanden ist, so fragt der Browser diese Information beim Hersteller ab und installiert das Zertifikat nach. Das ist genauso gut oder schlecht wie wenn das Zertifikat der CA von Anfang an im Browser gewesen wäre. Man vertraut der Expertise des Herstellers und dem Hersteller selbst, welche CAs er aufnimmt.
Welche Voraussetzungen es benötigt um die Funktionalität zu missbrauchen, wird im TC-Blog ausführlich erläutert.
