Manchmal, wenn bei „hei­se online“ kei­nem Redakteur mehr etwas zu irgend­wel­chen Kinoseifenopern ein­fällt (sie­he hier, hier, hier u.a.), wagt einer von ihnen den gera­de­zu fre­chen Vorschlag zu machen, man kön­ne ja statt­des­sen etwas über die­se komi­sche Technik, von der gera­de alle reden, berich­ten; hppt, Internett und wie das alles heißt. Dann kommt ein lusti­ger Artikel wie die­ser hier her­aus, des­sen Autor Dennis Schirrmacher („Medienwissenschaftler“, zuvor bei der auch nicht viel bes­se­ren Zeitschrift „AUDIO TEST“ als Chefredakteur beschäf­tigt) schon in der Einleitung von einem Publikum aus­geht, das eigent­lich auch viel lie­ber etwas über irgend­wel­che Filme lesen würde:

HTTPS-Webseiten wecken Vertrauen.

Da auch die­se Webpräsenz hier, auf der ihr die­sen Text lesen könnt, via htt­ps aus­ge­lie­fert wird (und damit wahr­schein­lich eine „HTTPS-Webseite“ ist), bedeu­tet das, ihr könnt mir ver­trau­en. Ich habe mir näm­lich ein Zertifikat instal­liert, mit dem ich nach­ge­wie­sen habe, dass ich Schreibrechte auf dem Webserver habe, und das dafür sorgt, dass die Übertragung man­cher Daten zwi­schen euch und mei­ner Webpräsenz ver­schlüs­selt wird. Damit wei­se ich weder nach, dass ich kei­ne bös­wil­li­ge Software auf eurem Rechner instal­lie­ren möch­te (na - JavaScript noch akti­viert?), noch, dass ich iden­tisch mit dem Kasper im Impressum bin.

Aber in eurem Browser ist mög­li­cher­wei­se ein Schloss vor der Adresse zu sehen. Deswegen könnt ihr mir vertrauen.

Doch auch Online-Gauner kön­nen sich oft über Umwege ver­trau­ens­wür­di­ge Zertifikate ausstellen.

Und zwar, indem sie für ihre Gaunerwebsite ein Zertifikat bean­tra­gen. Könnt ihr ver­trau­en, ist ein Schloss dran.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Was Dennis Schirrmacher hier „vor­gau­kelt“, möch­te ich gar nicht wei­ter bewer­ten, aber offen­bar stellt es für zumin­dest ihn eine berich­tens­wer­te Neuigkeit dar, dass eine Zertifizierungsstelle (CAcert, StartSSL, Let’s Encrypt, …) gar nicht wis­sen möch­te, was der Empfänger mit dem Zertifikat vor­hat, so lan­ge sei­ne Anfrage vali­de ist. Ob die Kriminellen damit „Vertrauenswürdigkeit vor­gau­keln“ wol­len, weiß ich nicht, aber wenn sie über ein aus­rei­chend viel tech­ni­sches Wissen ver­fü­gen, um sturz­frei eine Website ein­zu­rich­ten, dann ist davon aus­zu­ge­hen, dass das Unsinn ist.

Online-Gauner waren in der Lage, sich eine Subdomain für eine legi­ti­me Domain ein­zu­rich­ten und dafür erfolg­reich ein Let’s-Encrypt-Zertifikat zu bean­tra­gen, warnt Trend Micro.

„Online-Gauner“ - puh, wenig­stens ist noch nicht von „Cyber-Gaunern“ die Rede - haben also die DNS-Einträge für eine „legi­ti­me Domain“ (wie genau sieht denn eine „ille­gi­ti­me Domain“ aus?) ändern und für die unter ihrer Kontrolle ste­hen­de neue Subdomain ein Zertifikat bean­tra­gen kön­nen, da die Zertifizierungsstelle grund­sätz­lich davon aus­geht, dass dir eine Domain, die du ver­wal­test, auch gehö­ren darf. Die eigent­li­che Meldung dar­an ist, dass eine Domain offen­sicht­lich teil­wei­se mit vol­len Rechten geka­pert wer­den konn­te. Das pas­siert nicht über­mä­ßig sel­ten, hat aber mit Zertifikaten erst ein­mal nicht beson­ders viel zu tun. Das ist Dennis Schirrmacher aber ver­mut­lich (zu Recht) nicht inter­es­sant genug, eben weil es recht häu­fig pas­siert, und so glaubt er einen ganz ande­ren Skandal gefun­den zu haben: Let’s Encrypt ver­teilt wie bis­her auch CAcert und StartSSL kosten­los Zertifikate an Leute, denen eine Domain zu gehö­ren scheint. Kreisch!

Das Anlegen einer Subdomain ist nicht ohne wei­te­res mög­lich. Denkbar wäre, dass die Online-Gauner auf irgend­ei­nem Weg an die Zugangsdaten für die Domain-Verwaltung gekom­men sind.

Ja, denk­bar ist sicher­lich rich­tig, höchst­wahr­schein­lich bis bei­na­he als gesi­chert anzu­se­hen ist für einen anstän­di­gen Redakteur von „hei­se online“, der sich mit der Materie, über die er berich­ten soll, nicht so recht aus­zu­ken­nen scheint, eben zu spe­zi­fisch. Unter der Überschrift „CA als Filter für gefähr­li­che Inhalte?“ - Spoiler: nein - fin­det er dafür schließ­lich doch noch einen Schuldigen dar­an, dass Kriminelle sich ein­fach irgend­wel­che Domains aneig­nen können:

Let’s Encrypt sieht den Aufgabenbereich einer CA nicht dar­in, Inhalte zu filtern.

Das ist aber ganz schön nach­läs­sig von Let’s Encrypt, dass sie als Zertifikatsstelle nicht dar­auf ach­ten, dass auf der zer­ti­fi­zier­ten Website kein Übel pas­siert. Man stel­le sich vor, die Zulassungsstelle wür­de bei der Vergabe von Kennzeichen nicht dafür Sorge tra­gen, dass der Fahrzeughalter kein Übles im Schilde führt!

Was macht man nun eigent­lich als ein­fa­cher Websurfer mit der Information, dass ein grü­nes Schloss in der Adressleiste des Browsers zu Dennis Schirrmachers Überraschung gar nicht bedeu­tet, dass da kei­ne Kriminellen unter­wegs sind? Die Lösung steht da eigent­lich nur implizit:

Die Subdomain soll auf einen Server ver­wei­sen, der unter Kontrolle der Kriminellen steht und Werbung mit Schadcode verteilt.

Das wesent­li­che Problem mit dem Geschilderten ist also weder, dass „Online-Gauner“ eine Subdomain ein­ge­rich­tet haben, noch, dass eine fie­se Zertifizierungsstelle ein­fach Domains vali­diert, sobald man nach­weist, dass man sie admi­ni­strie­ren kann; das wesent­li­che Problem ist es, dass schäd­li­che Werbebanner von die­ser zer­ti­fi­zier­ten Domain aus­ge­lie­fert wer­den. Dagegen indes gibt es wirk­sa­me Abhilfe: Einfach einen Werbeblocker wie Adguard oder uBlock instal­lie­ren. Natürlich ist in Dennis Schirrmachers Artikel davon aller­dings kei­ne Rede, denn „hei­se online“ will ja auch von irgend­was leben.

Der Artikel auf „hei­se online“ ist übri­gens nicht über htt­ps abruf­bar. Was das wohl bedeutet?