Windows-Update sperrt unsichere SSL-Zertifikate

Sicherheitslücken Microsoft hat ein außerplanmäßiges Update für Windows veröffentlicht, mit dem neun SSL-Zertifikate gesperrt werden, die kürzlich in die Hände von Kriminellen gelangt sind. Die Schuld trägt Comodo als Herausgeber der Zertifikate. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ist doch nicht das erste Mal, dass sowas bei Comodo passiert. Ende 2008 gab es schonmal das gleiche "Problem", wenn auch damals *nur* bei Mozilla Certs... Sorry, aber das ist verkacken auf ganzer Linie. Ein Sicherheitsdienstleister (!), dem solche Probleme immer wieder unterlaufen. "Creating Trust Online" ist in dem Fall eher ironisch gemeint, oder?
 
@Slurp: Da fällt mir dochgerade wider der Artikel auf Heise ein... Da lohnt es sich 5 Minuten Zeit zu nehmen um den zu lesen: http://www.heise.de/ct/artikel/Ausgelacht-1195082.html
 
hmm, das sind meiner meinung nach auffällig wichtige subdomains. Wieso hat Comodo sowas nicht abgesichert? Ein Mechan zu bauen der sich umgehen lässt... Hätte man mal lieber enger mit den Browserhersteller zusammen gearbeitet.
 
@Oruam: den mechanismus hat nicht comodo verbrochen...das ist "systembedingt" und trifft auf alle ca`s zu
 
Die logische Konsequenz wäre, wenn es bereits mehrfach zu solchen Vorfällen kam, als Browserhersteller die Stammzertifikate von Comodo nicht mehr als vertrauenswürdig einzustufen.
 
Es muss ja nicht mal so weit kommen, dass der Mechanismus zum Hinweis auf ein unsicheres Zertifikat umgangen wird. Selbstst wenndie Warnung auftritt denken sich wohl die wenigsten Nutzer etwas dabei. Da wird dann schnl mal auf "Als Ausnahme hinzufügen" geklickt und schon hat man diesen wunderbaren Schutzmechanismus umgangen.
 
Infolgedessen dass jede kleine Popelsseite mittlerweile SSL hat, wird dieser Umstand, sei es es weil sowas wie bei Comodo passiert, der User automatisch bei der 15 Warnung am Tag auf "Okay" klickt oder weil der Users SSL Zertifikate importiert, wohl zunehmen.
 
@Lastwebpage: Aber wenn mir Googlemail auf einmal eine Warnung ausgeben würde, obwohl das nie passiert, würde ich schon ein wenig verwundert sein...
 
@Lastwebpage: Unsichere Zertifikate wegen der ausgebenden Firmen wie etwa Comodo und seine Wiederverkäufer zeigen vor allem eins: SSL verschlüsseln durchaus, damit nicht jeder mitlesen kann, aber zum sicheren authentifizieren reicht das nicht, wegen der daran beteiligten Firmen, denn die wollen vor allem Gewinn machen, Sicherheit für die User ist da eher nachrangig.
 
Firefox 4 ist ja schön und gut... viel wichtiger ist aber die Frage wie es mit dem deutlich weiter verbreiteten 3.6 aussieht.
 
@Johnny Cache: Der wird vermutlich ein kleines Update der Stammzertifizierungsstelle bekommen.
 
@WinLinMax: Davon gehe ich auch aus, aber es ist schon interessant daß gerade einer der verbreitetsten Browser nicht erwähnt wird.
 
@Johnny Cache: Weil sich alles auf den 4er stürzt... ^^ (Hab mich gestern totgesucht bei der Suche nach der 3.6.16-setup.exe; von der 3.5.18er gar keine Spur)
 
@Johnny Cache: Der hat doch schon ein Update bekommen und weshalb musst du eine Wertung in deinen Beitrag mitreinnehmen?
 
@Larucio: Laut Heise (http://tinyurl.com/639jy5h) wurde es mit Firefox 3.6.16 und Firefox 3.5.18 gefixt.
 
@Larucio: Tatsache, nur blöd daß er anscheinend lediglich beim Start auf updates überprüft. Das hilft natürlich nichts wenn der Browser wochenlang durchläuft. ;) Aber was meinst du mit Wertung?
 
@Johnny Cache: Es wird in regelmßigen Abständigen nach vom fireox Browser nachUpdates gesucht, installiert! weden Sie aber erst bei einem neustart. Aber der User wird eigendlich darauf hingewiesen das ein Update installert werden muss.
 
@Johnny Cache: Hm, vielleicht kam das mit dem gestrigen 3.6.16 ?!
 
@Johnny Cache: 3.6.16 ist sicher, stand doch in dem Artikel gestern. Oder stand's auf heise? Naja wie auch immer, 3.6.16 erkennt die ungültigen Zertifikate. *ups* zu langsam :(
 
@Johnny Cache: Wurde berteits gestern gepatched.
 
"...in die Hände von Kriminellen gelangt sind." Laut Comodo waren es die Mullahs aus Teheran aber Kriminelle passt natürlich auch :)
 
@DrJaegermeister: Wenn ich für Schlapphüte arbeiten würde, dann hätte ich das auch so gemacht, hinter 7 Boxxies versteckt irgend jemandem, der von allen beschuldigt wird, klammheimlich so was unterschieben. Und nun zu den Kandidaten: CIA, israelische Stuxnet Bastler, BND und so weiter und so fort. Nebeneffekt? Gibt es da etwa Öl und Erdgas in der strategischen Ellipse abzusaugen? Zwei Drittel aller bekannten Erdöl & Erdgas Vorkommen liegen übrigens in der strategischen Ellipse. Kandidaten, die da gerne mal einmarschieren wollen gibt es bestimmt.
 
Die Frage wäre, wie sich das blockieren lässt. Da sollten die Browserhersteller mal nachbessern und diese Möglichkeiten ausschalten.
 
@Kirill: Mozilla und Google haben das bereits am 16. März gemacht, nun zuckelt auch Microsoft hinterher. Absolut kein Verständnis darf man für das verheimlichen des SSL-Gaus haben.
 
@Feuerpferd: Glückwunsch, du hast das Thema absolut verfehlt.
 
"dass sich die dafür benötigten Anfragen des Browsers blockieren lassen" an der Stelle sind aber die Browserhersteller schuld. Das ist ja wie, wenn ich jemanden aussperre, der einen falschen Schlüssel hat, aber jemanden, der gleich gar keinen hat reinlasse.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter