Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

c't-SSL-Wächter schützt beim Online-Bezahlen

Schwache Zertifikate, wie das erst letzte Woche bei T-Pay ausgetauschte, gefährden sensible Daten wie Kreditkartennummern und Passwörter. Der c't-SSL-Wächter erkennt diese Zertifikate und warnt rechtzeitig vor ihrem Einsatz.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Noch immer verwenden viele Web-Seiten unsichere SSL-Zertifikate unter anderem für Bezahlvorgänge im Internet. Und selbst wenn diese, wie letzte Woche bei T-Pay geschehen, entfernt und widerrufen werden, lassen sie sich noch missbrauchen.

Eine Vorabversion des c't-SSL-Wächters warnt vor dem unsicheren T-Pay-Zertifikat.

Die Telekom hat nach einem Hinweis von heise Security letzte Woche – also rund anderthalb Monate nach dem Bekanntwerden des Debian-Debakels – zwei Zertifikate widerrufen, die der hauseigene Bezahldienst T-Pay zur Absicherung des Bezahlens (www.sicherbezahlen.t-pay.de) und Registrierens mit Bank- und Kreditkartendaten eingesetzt hatte. Trotzdem gelang es heise Security auch nach dem Widerruf, mit Hilfe des schwachen Zertifikats einen verschlüsslten Registrierungsversuch bei T-Pay von einem zweiten Rechner aus zu belauschen, ohne dass der Anwender dies etwa an einer Warnung hätte erkennen können.

Das liegt daran, dass Windows XP in der Standardeinstellung die Widerrufsinformationen nicht prüft und deshalb der Internet Explorer auch für das widerrufene Zertifikat das Schloss für eine angeblich sichere Verbindung einblendet. Das gleiche gilt für Firefox 2. Internet Explorer 7 auf Vista und Firefox 3 warnen zwar vor widerrufenen Zertifikaten, aber noch immer werden regelmäßig neue Sites entdeckt, die schwache Zertifikate einsetzen und keine Warnung erzeugen.

In der seit heute erhältlichen c't-Ausgabe stellt heise Security deshalb den c't SSL-Wächter vor. Der warnt den Nutzer, wenn er eine vermeintlich sichere Webseite ansurft, die mit einem schwachen Zertifikat ausgestattet ist. Er bietet dabei die Möglichkeit, die Übertragung eventuell bereits abgeschickter kritischer Daten zu unterbinden. Der c't-SSL-Wächter funktioniert auf Windows 2000, XP und Vista und stellt sich automatisch auf Deutsch und Englisch ein. Er beschützt alle Anwendungen, die die Windows-Krypto-Schnittstelle benutzen, also insbesondere Internet Explorer und Outlook Express beziehungsweise Windows Mail. Firefox-Anwender können sich mit Márton Ankas Erweiterung SSL Blacklist behelfen, die ebenfalls schwache Zertifikate erkennt – aber leider erst nachdem die fragliche Web-Seite abgerufen wurde.

Siehe dazu auch:

(ju)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten