"Gefälschte" SSL-Zertifikate

2011-03-24 11:05

Das ganze Debakel um gefälschte SSL-Zertifikate tritt eine Diskussion los, die sich völlig vom Kernproblem entfernt.

Das Problem ist nicht, dass gefälschte Zertifikate existieren, und der Revoke-Prozess nicht funktioniert. Das Problem ist, dass die meisten Browser diesen Zertifikaten von Haus aus Vertrauen. Es sind standardmäßig soviele Authorities vorhanden, dass es ein leichtes ist dem User ein gefälschtes Zertifikat unterzujubeln und er merkt nichts davon. Weil unser Browser (bzw. unser OS) den Ausstellern vertraut, obwohl ich als User keine Ahnung hab, wer das ist und ob ich ihm trauen kann.

Die ehrlichsten Zertifikate sind immer noch die, welche die Seite, für welche das Zertifikat gilt, selbst unterschrieben hat.

Wer ein wenig genauer wissen will, wieso das so ist, dem empfehle ich einen Besuch bei Fefe. Da gibt es diesen Beitrag oder ihr schaut euch mal an, wo überall Schabernack mit SSL-Zertifikaten getrieben wurde.