Suche   Â
Microsoft Zertifikatsupdate gefährden die Sicherheit ? wirklich?
ID: 918610
Neue Meldungen verunsichernüber die Sicherheit von SSL durch Updates der Zertifikate. Angeblich kann dies auch trivial als Hintertür missbraucht werden. Ist das wirklich so?
(PresseBox) - PRISM und Tempora sei Dank ist die Presse gerade sehr auf der Lauer. Das ist an sich zu begrüßen. Allerdings schaffen es interessanterweise häufig die halbgaren, aber umso reißerisch klingenden Geschichten auf die virtuellen Titelblätter. Aktuell liest man von dynamischen Microsoft Zertifikatsupdates die die Sicherheit gefährden. Doch ist das wirklich so?
Ruft man eine Webseite über eine verschlüsselte Verbindung auf, so weist sich diese mit einem Zertifikat aus. In diesem Zertifikat ist kryptografisch abgesichert hinterlegt, wer dieses Zertifikat ausgestellt hat. Eine Stelle die Zertifikate vergibt nennt sich Certification Authority, kurz CA. Hinter den CAs stehen meist Unternehmen. Es gibt aber auch alternative Programme wie cacert.org.
In jedem Browser (Internet Explorer, Firefox, Safari, Opera, etc) ist standardmäßig eine Liste von vertrauenswürdig eingestuften CAs hinterlegt. Ruft man nun eine verschlüsselte Seite auf wird durch den Browser aus dem Zertifikat extrahiert, welche CA das Zertifikat ausgestellt hat und überprüft, ob das Zertifikat der CA als vertrauenswürdig im Browser hinterlegt ist. Wenn ja, wird die Seite angezeigt. Wenn nein, zeigt der Browser eine Fehlermeldung die mehr oder minder verständlich mitteilt, dass der CA nicht vertraut wird. Vorteil: Man muss nicht die Identität jeder Seite einzeln Prüfen. Das hat die CA der man vertraut ja bereits erledigt. Das Ganze nennt man Public-Key-Infrastructure (PKI).
Ruft man im kritisierten Fall nun eine Seite auf, deren CA zwar der Browserhersteller Microsoft als vertrauenswürdig eingestuft hat, jedoch noch nicht auf dem Rechner des Nutzers vorhanden ist, so fragt der Browser diese Information beim Hersteller ab und installiert das Zertifikat nach. Das ist genauso gut oder schlecht wie wenn das Zertifikat der CA von Anfang an im Browser gewesen wäre. Man vertraut der Expertise des Herstellers und dem Hersteller selbst, welche CAs er aufnimmt.
Welche Voraussetzungen es benötigt um die Funktionalität zu missbrauchen, wird im TC-Blog ausführlich erläutert.
Tele-Consulting bietet Informationssicherheitsexpertise in den drei Feldern Informationsmanagementsysteme (BSI-Grundschutz/ISO 27001), Penetrationstests und Webanwendungsanalysen sowie Produktprüfungen nach Common Criteria und ITSEC.
Â
Tele-Consulting ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister. Im Rahmen der Zertifizierung wurden Zuverlässigkeit und Unabhängigkeit, sowie Fachkompetenz und Qualität der Dienstleistung geprüft und bewertet. Damit wurde von unabhängiger Stelle die Vertrauenswürdigkeit und Kompetenz der durch Tele-Consulting erbrachten IT-Sicherheitsdienstleistungen nachgewiesen. Die persönliche Kompetenz der mit den Beratungsleistungen betrauten Mitarbeiter wurde überprüft, ebenso wie das Sicherheits- und Qualitätsmanagement der Firma.
Tele-Consulting bietet Informationssicherheitsexpertise in den drei Feldern Informationsmanagementsysteme (BSI-Grundschutz/ISO 27001), Penetrationstests und Webanwendungsanalysen sowie Produktprüfungen nach Common Criteria und ITSEC.
Â
Tele-Consulting ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister. Im Rahmen der Zertifizierung wurden Zuverlässigkeit und Unabhängigkeit, sowie Fachkompetenz und Qualität der Dienstleistung geprüft und bewertet. Damit wurde von unabhängiger Stelle die Vertrauenswürdigkeit und Kompetenz der durch Tele-Consulting erbrachten IT-Sicherheitsdienstleistungen nachgewiesen. Die persönliche Kompetenz der mit den Beratungsleistungen betrauten Mitarbeiter wurde überprüft, ebenso wie das Sicherheits- und Qualitätsmanagement der Firma.
  
  
  
Datum: 31.07.2013 - 07:00 Uhr
Sprache: Deutsch
News-ID 918610
Anzahl Zeichen: 3185
Kontakt-Informationen:
Stadt:
Gäufelden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 0 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Microsoft Zertifikatsupdate gefährden die Sicherheit ? wirklich?"
steht unter der journalistisch-redaktionellen Verantwortung von
Tele-Consulting security | networking | training GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).