Christian Fromme schrieb: > Neben dem Problem mit MD5 Collisions selbst gab es ja auch > (Anfang/Mitte dieses Jahres) ein paar Zertifikats-Aussteller, die die > Domains nicht geprueft haben, fuer die die Zertifikate ausgestellt > wurden. Weiss nicht, ob das mittlerweile gefixt wurde. Das sind zwei > Beispiele fuer 'echte' und beinahe unerkennbare SSL MITM. Bevor Moxie > Marlinspike die bekannte NULL-Prefix Attacke vorstellte, gab es von > ihm IIRC eine Reihe weiterer Anriffe auf SSL. Leider weiss ich hier > die Details nicht mehr. Wenn die Anzahl an SSL-Bugs/Defeats in der > selben Frequenz wie dieses Jahr auf uns einprasselt, dann kann man das > bald nicht mehr ruhigen Gewissens benutzen. (Kann man das ueberhaupt > noch?)
SSL in Ausprägung des Browser-SSL "https" mit den zillionenfach mitgelieferten CA-Zertifikaten teils ausgesprochen dubioser Qualität war schon immer eine recht risikolastige Abwägung. Das geht schon bis zu den SGC-Zertifikaten der 1990er zurück. Da mag man heute garnicht mehr dran denken. -martin -- Martin Schmitt / Schmitt Systemberatung / www.scsy.de --> http://www.pug.org/index.php/Benutzer:Martin <--
signature.asc
Description: OpenPGP digital signature
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
