Web-Browser Safari schlampt bei SSL-Zertifikaten

Apples Web-Browser überprüft bei SSL-Zertifikaten nicht den so genannten Common Name. Dies meldet die auf Sicherheitsfragen spezialisierte Web-Site Secunia. Ebenfalls von dem Fehler betroffen ist die Embedded-Version des KDE-Web-Browsers Konqueror. Die KDE-Variante des Konqueror ist nicht betroffen. Safari nutzt wie die Konqueror-Versionen KHTML, die HTML-Bibliothek des KDE-Desktop.

Der Einsatz von SSL bei Internet-Verbindungen verfolgt zwei Ziele: Zum einen soll SSL die Verbindung verschlüsseln, zum anderen die Identität des Rechners am anderen Ende verifizieren. Da Safari jedoch den Common Name eines SSL-Zertifikats nicht richtig überprüft, kann ein Anwender nicht sicher sein, dass der Rechner am anderen Ende der SSL-Verbindung auch tatsächlich der ist, für den er sich ausgibt. Über DNS-Spoofing etwa ließe sich diese Nachlässigkeit ausnutzen. Einzige Abhilfe ist zur Zeit, Safari und Konqueror Embedded nicht für SSL-Verbindungen einzusetzen und etwa Bankgeschäfte mit einem anderen Web-Browser abzuwickeln.

Die aktuelle Safari-Ausgabe weist Apple noch explizit als Beta-Version aus (1.0 Beta2 (v73)); weitere Probleme mit der Software sind also keinesfalls auszuschließen. Wer Apple helfen möchte, den Browser von Fehlern zu befreien, der kann über den kleinen Käfer-Button oben rechts im Fenster einen Fehlerbericht nach Cupertino schicken. (adb)