Microsoft Zertifikatsupdate gefährden die Sicherheit ? wirklich?

Neue Meldungen verunsichernüber die Sicherheit von SSL durch Updates der Zertifikate. Angeblich kann dies auch trivial als Hintertür missbraucht werden. Ist das wirklich so?

(PresseBox) - PRISM und Tempora sei Dank ist die Presse gerade sehr auf der Lauer. Das ist an sich zu begrüßen. Allerdings schaffen es interessanterweise häufig die halbgaren, aber umso reißerisch klingenden Geschichten auf die virtuellen Titelblätter. Aktuell liest man von dynamischen Microsoft Zertifikatsupdates die die Sicherheit gefährden. Doch ist das wirklich so?
Ruft man eine Webseite über eine verschlüsselte Verbindung auf, so weist sich diese mit einem Zertifikat aus. In diesem Zertifikat ist kryptografisch abgesichert hinterlegt, wer dieses Zertifikat ausgestellt hat. Eine Stelle die Zertifikate vergibt nennt sich Certification Authority, kurz CA. Hinter den CAs stehen meist Unternehmen. Es gibt aber auch alternative Programme wie cacert.org.
In jedem Browser (Internet Explorer, Firefox, Safari, Opera, etc) ist standardmäßig eine Liste von vertrauenswürdig eingestuften CAs hinterlegt. Ruft man nun eine verschlüsselte Seite auf wird durch den Browser aus dem Zertifikat extrahiert, welche CA das Zertifikat ausgestellt hat und überprüft, ob das Zertifikat der CA als vertrauenswürdig im Browser hinterlegt ist. Wenn ja, wird die Seite angezeigt. Wenn nein, zeigt der Browser eine Fehlermeldung die mehr oder minder verständlich mitteilt, dass der CA nicht vertraut wird. Vorteil: Man muss nicht die Identität jeder Seite einzeln Prüfen. Das hat die CA der man vertraut ja bereits erledigt. Das Ganze nennt man Public-Key-Infrastructure (PKI).
Ruft man im kritisierten Fall nun eine Seite auf, deren CA zwar der Browserhersteller Microsoft als vertrauenswürdig eingestuft hat, jedoch noch nicht auf dem Rechner des Nutzers vorhanden ist, so fragt der Browser diese Information beim Hersteller ab und installiert das Zertifikat nach. Das ist genauso gut oder schlecht wie wenn das Zertifikat der CA von Anfang an im Browser gewesen wäre. Man vertraut der Expertise des Herstellers und dem Hersteller selbst, welche CAs er aufnimmt.
Welche Voraussetzungen es benötigt um die Funktionalität zu missbrauchen, wird im TC-Blog ausführlich erläutert.



Tele-Consulting bietet Informationssicherheitsexpertise in den drei Feldern Informationsmanagementsysteme (BSI-Grundschutz/ISO 27001), Penetrationstests und Webanwendungsanalysen sowie Produktprüfungen nach Common Criteria und ITSEC.
 
Tele-Consulting ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister. Im Rahmen der Zertifizierung wurden Zuverlässigkeit und Unabhängigkeit, sowie Fachkompetenz und Qualität der Dienstleistung geprüft und bewertet. Damit wurde von unabhängiger Stelle die Vertrauenswürdigkeit und Kompetenz der durch Tele-Consulting erbrachten IT-Sicherheitsdienstleistungen nachgewiesen. Die persönliche Kompetenz der mit den Beratungsleistungen betrauten Mitarbeiter wurde überprüft, ebenso wie das Sicherheits- und Qualitätsmanagement der Firma.

Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 31.07.2013 - 07:00 Uhr
Sprache: Deutsch
News-ID 918610
Anzahl Zeichen: 3185

Kontakt-Informationen:
Stadt:

Gäufelden

Kategorie:

New Media & Software

Diese Pressemitteilung wurde bisher 359 mal aufgerufen.

OWASP AppSec EU - Trainings und Agenda stehen fest ...
Zwei Tage Intensivschulungen Weltweit anerkannte Experten für Anwendungssicherheit geben in insgesamt elf je ein- oder zweitätigen Schulungen tiefe Einblicke in spezifische Aspekte von Anwendungssicherheit. Dave Wichers, Projektleiter der bekannten OWASP Top 10 greift das Thema ?Securing

OWASP AppSecEU 2013 Hamburg: Call for P^2 offen ...
Vom 20. bis 23. August 2013 findet die europäische Konferenz des Open Web Application Security Project OWASP AppSecEU 2013 in Hamburg statt. Es werden über 400 Teilnehmer aus ganz Europa erwartet. Die Konferenz spricht dabei sowohl Beitragende aus der Industrie, als auch der Wissenschaft

German OWASP Day 2012 war ein voller Erfolg ...
Am 7.11 fand in München der German OWASP Day 2012 statt. Bei der größten Konferenz für Websicherheit in Deutschland kamen weit über 200 Teilnehmer zu spannenden Vorträgen in der bayerischen Landeshauptstadt zusammen. Nach der Vorabendveranstaltung in bayrischer Gastlichkeit mit vielen Möglic

Weitere Mitteilungen von Tele-Consulting security | networking | training GmbH

Mit dem umfangreichsten Sortiment an GPU-Server- und Workstation-Lösungen und bis zu 256 TFLOPS im 42U-Rack ist Supermicro® branchenweit führend ...
Super Micro Computer, Inc., in den Bereichen hochleistungsfähige und hocheffiziente Server- und Speichertechnologie sowie Green Computing weltweit führend, wird seine Auswahl hochleistungsfähiger Supercomputer-Lösungen der Enterprise-Klasse in dieser Woche auf der NVIDIA GPU Technology Confe

North Sea Electronics entscheidet sich für Aras und die Minerva Electronic PLM-Lösung ...
Andover, USA und München, 30. Juli 2013 - Aras gewinnt mit North Sea Electronics einen neuen Kunden. Der Hersteller von Elektroniksystemen mit Sitz in Bergen, Norwegen, wird die Aras-Plattform sowie die Electronics und High Tech (EHT) Anwendung des Gold-zertifizierten Aras-Partners Minerva implemen

Ohne Smartphone geht es nicht ...
Der Urlaub ist eigentlich zum Abschalten gedacht - weg von der Arbeit und vom Druck des Arbeitsalltags. Viele Berufstätige haben damit aber so ihre Probleme, denn das Smartphone, Tablet oder Notebook gehört auch im Urlaub oft zum Reisegepäck. Vor allem Manager und Führungskräfte tun sich schwe

Digital Signage Software Display Star mit neuen Features ...
Der Verteilerdienst von Display Star (Distribute Daemon) ist ein Dienst, der unter anderem für die zentrale Übertragung von Inhalten und Playlisten an Stationen sorgt. Damit jede Station ihr angeschlossenes Display mit geplantem Content versorgen kann, überträgt der Verteilerdienst nacheinander