Hi, 2009/12/7 Martin Schmitt <[email protected]>:
> Hersteller wie Bluecoat benötigen meines Wissens die Kooperation der > Clients, auf denen ein passendes Root-Zertifikat installiert sein muß. Das ist natuerlich richtig. > Kursieren denn irgendwo wilde Wildcard-Zertifikate, die von einer im > Browser bekannten CA ausgestellt sind? Eins selbst zu erstellen ist ja > (siehe Appelbaum) nicht gerade trivial. Neben dem Problem mit MD5 Collisions selbst gab es ja auch (Anfang/Mitte dieses Jahres) ein paar Zertifikats-Aussteller, die die Domains nicht geprueft haben, fuer die die Zertifikate ausgestellt wurden. Weiss nicht, ob das mittlerweile gefixt wurde. Das sind zwei Beispiele fuer 'echte' und beinahe unerkennbare SSL MITM. Bevor Moxie Marlinspike die bekannte NULL-Prefix Attacke vorstellte, gab es von ihm IIRC eine Reihe weiterer Anriffe auf SSL. Leider weiss ich hier die Details nicht mehr. Wenn die Anzahl an SSL-Bugs/Defeats in der selben Frequenz wie dieses Jahr auf uns einprasselt, dann kann man das bald nicht mehr ruhigen Gewissens benutzen. (Kann man das ueberhaupt noch?) Gruss, C -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
