Microsoft, Symantec & Co schlampen bei Verschlüsselung

Microsoft, Symantec, TrendMicro, Network Associates aber auch das Weiße Haus betreiben kaputte https-Seiten.

In Pocket speichern vorlesen Druckansicht 139 Kommentare lesen
Lesezeit: 2 Min.

Microsoft, Symantec, TrendMicro, Network Associates und auch das Weiße Haus und das FBI unterhalten kaputte https-Seiten. https-Server kommen beispielsweise beim Online-Banking zum Einsatz, wenn man vertrauliche Daten übers Internet versenden möchte, die nur für den Empfänger lesbar sein dürfen. Dazu werden bei https-Seiten alle übertragenen Daten verschlüsselt. Der Server muss dazu aber vorher ein gültiges Zertifikat liefern, das auf seinen Namen ausgestellt ist. Stimmt der Name nicht, meldet der Browser beim Aufruf der https-URL ein fehlerhaftes Zertifikat. Genau das passiert bei den vorgeblich "sicheren Seiten" der aufgeführten Firmen und Behörden.

Alle oben aufgeführten Web-Server nutzen den Web-Dienstleister Akamai, um ihre Seiten möglichst schnell auszuliefern. Akamai arbeitet als eine Art "globaler Load-Balancer" für Web-Server. Dies bedeutet, dass man beispielsweise beim Aufruf von "www.microsoft.com" mit einem Akamai-Server verbunden wird. Bei einer https-Verbindung präsentiert dieser ein Zertifikat, das auf seinen Akamai-Namen ausgestellt ist und vom Browser als fehlerhaft moniert wird. Zu Recht, denn schließlich wollte der Anwender verschlüsselt mit Microsoft sprechen -- und nicht mit Akamai.

Auf Nachfrage versicherten Symantec und Microsoft, dass auf den über Akamai ausgelieferten Web-Seiten keine vertraulichen Daten übertragen würden. Dafür seien spezielle Server vorgesehen, die mit richtigen Zertifikaten ausgestattet seien. Akamai antwortete auf diesbezügliche Anfragen nicht.

Warum dieser laxe Umgang mit verschlüsselten Web-Seiten trotzdem unverantwortlich ist, erklärt der aktuelle Kommentar auf heise Security: (ju)