Neue Version des c't SSL-Wächters

Der c't SSL-Wächter sichert Online-Transaktionen, indem er SSL-Zertifikate auf schwache Schlüssel überprüft, bevor Windows sie für Authentifizierung und Verschlüsselung verwendet. Durch einen Fehler in den Krypto-Bibliotheken erzeugten Debian-Systeme lange Zeit so schwache Schlüssel, dass die sich leicht erraten lassen. Verwendet ein Web-Server ein Zertifikat mit einem schwachen Schlüssel, lässt sich die Verschlüsselung leicht aushebeln. Die Version 1.1 des SSL-Wächters beseitigt vor allem einige kleinere Fehler.

In den sechs Wochen seit dem Erscheinen des SSL-Wächters haben Anwender knapp zweihundert betroffene Sites gemeldet, darunter sogar einige Banken, reichlich Online-Shops und auch Apotheken und Krankenkassen. Und noch immer tauchen neue auf. Selbst wenn die Betreiber selbst die schwachen Zertifikate nicht mehr einsetzen, könnten Angreifer damit immer noch gefälschte SSL-Sites aufsetzen, die sich korrekt ausweisen können, bis das Ablaufdatum erreicht ist. Und das ist in vielen Fällen erst 2010 der Fall. Server-Betreiber können ihre Site mit dem SSL-Check von heise Netze testen.

Das wichtigste Argument für einen Umstieg auf die neue Version 1.1 des SSL-Wächters ist, dass diese nun auch überprüft, ob das Zertifikat eventuell vom Herausgeber widerrufen wurde. Außerdem wurde die Installation so verbessert, dass der SSL-Wächter tatsächlich für alle Nutzer eines Systems aktiviert wird, wenn diese Option angewählt ist. Weitere Informationen zum Download und Upgrade finden sich auf den Projektseiten des c't SSL-Wächters. (ju)