Manch­mal, wenn bei „hei­se online“ kei­nem Redak­teur mehr etwas zu irgend­wel­chen Kino­sei­fen­opern ein­fällt (sie­he hier, hier, hier u.a.), wagt einer von ihnen den gera­de­zu fre­chen Vor­schlag zu machen, man kön­ne ja statt­des­sen etwas über die­se komi­sche Tech­nik, von der gera­de alle reden, berich­ten; hppt, Inter­nett und wie das alles heißt. Dann kommt ein lusti­ger Arti­kel wie die­ser hier her­aus, des­sen Autor Den­nis Schirr­ma­cher („Medi­en­wis­sen­schaft­ler“, zuvor bei der auch nicht viel bes­se­ren Zeit­schrift „AUDIO TEST“ als Chef­re­dak­teur beschäf­tigt) schon in der Ein­lei­tung von einem Publi­kum aus­geht, das eigent­lich auch viel lie­ber etwas über irgend­wel­che Fil­me lesen wür­de:

HTTPS-Web­sei­ten wecken Ver­trau­en.

Da auch die­se Web­prä­senz hier, auf der ihr die­sen Text lesen könnt, via https aus­ge­lie­fert wird (und damit wahr­schein­lich eine „HTTPS-Web­sei­te“ ist), bedeu­tet das, ihr könnt mir ver­trau­en. Ich habe mir näm­lich ein Zer­ti­fi­kat instal­liert, mit dem ich nach­ge­wie­sen habe, dass ich Schreib­rech­te auf dem Web­ser­ver habe, und das dafür sorgt, dass die Über­tra­gung man­cher Daten zwi­schen euch und mei­ner Web­prä­senz ver­schlüs­selt wird. Damit wei­se ich weder nach, dass ich kei­ne bös­wil­li­ge Soft­ware auf eurem Rech­ner instal­lie­ren möch­te (na – Java­Script noch akti­viert?), noch, dass ich iden­tisch mit dem Kas­per im Impres­sum bin.

Aber in eurem Brow­ser ist mög­li­cher­wei­se ein Schloss vor der Adres­se zu sehen. Des­we­gen könnt ihr mir ver­trau­en.

Doch auch Online-Gau­ner kön­nen sich oft über Umwe­ge ver­trau­ens­wür­di­ge Zer­ti­fi­ka­te aus­stel­len.

Und zwar, indem sie für ihre Gau­ner­web­site ein Zer­ti­fi­kat bean­tra­gen. Könnt ihr ver­trau­en, ist ein Schloss dran.

Nun haben Kri­mi­nel­le das erste Let’s‑Encrypt-Zertifikat genutzt, um Ver­trau­ens­wür­dig­keit vor­zu­gau­keln.

Was Den­nis Schirr­ma­cher hier „vor­gau­kelt“, möch­te ich gar nicht wei­ter bewer­ten, aber offen­bar stellt es für zumin­dest ihn eine berich­tens­wer­te Neu­ig­keit dar, dass eine Zer­ti­fi­zie­rungs­stel­le (CAcert, Start­S­SL, Let’s Encrypt, …) gar nicht wis­sen möch­te, was der Emp­fän­ger mit dem Zer­ti­fi­kat vor­hat, so lan­ge sei­ne Anfra­ge vali­de ist. Ob die Kri­mi­nel­len damit „Ver­trau­ens­wür­dig­keit vor­gau­keln“ wol­len, weiß ich nicht, aber wenn sie über ein aus­rei­chend viel tech­ni­sches Wis­sen ver­fü­gen, um sturz­frei eine Web­site ein­zu­rich­ten, dann ist davon aus­zu­ge­hen, dass das Unsinn ist.

Online-Gau­ner waren in der Lage, sich eine Sub­do­main für eine legi­ti­me Domain ein­zu­rich­ten und dafür erfolg­reich ein Let’s‑Encrypt-Zertifikat zu bean­tra­gen, warnt Trend Micro.

„Online-Gau­ner“ – puh, wenig­stens ist noch nicht von „Cyber-Gau­nern“ die Rede – haben also die DNS-Ein­trä­ge für eine „legi­ti­me Domain“ (wie genau sieht denn eine „ille­gi­ti­me Domain“ aus?) ändern und für die unter ihrer Kon­trol­le ste­hen­de neue Sub­do­main ein Zer­ti­fi­kat bean­tra­gen kön­nen, da die Zer­ti­fi­zie­rungs­stel­le grund­sätz­lich davon aus­geht, dass dir eine Domain, die du ver­wal­test, auch gehö­ren darf. Die eigent­li­che Mel­dung dar­an ist, dass eine Domain offen­sicht­lich teil­wei­se mit vol­len Rech­ten geka­pert wer­den konn­te. Das pas­siert nicht über­mä­ßig sel­ten, hat aber mit Zer­ti­fi­ka­ten erst ein­mal nicht beson­ders viel zu tun. Das ist Den­nis Schirr­ma­cher aber ver­mut­lich (zu Recht) nicht inter­es­sant genug, eben weil es recht häu­fig pas­siert, und so glaubt er einen ganz ande­ren Skan­dal gefun­den zu haben: Let’s Encrypt ver­teilt wie bis­her auch CAcert und Start­S­SL kosten­los Zer­ti­fi­ka­te an Leu­te, denen eine Domain zu gehö­ren scheint. Kreisch!

Das Anle­gen einer Sub­do­main ist nicht ohne wei­te­res mög­lich. Denk­bar wäre, dass die Online-Gau­ner auf irgend­ei­nem Weg an die Zugangs­da­ten für die Domain-Ver­wal­tung gekom­men sind.

Ja, denk­bar ist sicher­lich rich­tig, höchst­wahr­schein­lich bis bei­na­he als gesi­chert anzu­se­hen ist für einen anstän­di­gen Redak­teur von „hei­se online“, der sich mit der Mate­rie, über die er berich­ten soll, nicht so recht aus­zu­ken­nen scheint, eben zu spe­zi­fisch. Unter der Über­schrift „CA als Fil­ter für gefähr­li­che Inhal­te?“ – Spoi­ler: nein – fin­det er dafür schließ­lich doch noch einen Schul­di­gen dar­an, dass Kri­mi­nel­le sich ein­fach irgend­wel­che Domains aneig­nen kön­nen:

Let’s Encrypt sieht den Auf­ga­ben­be­reich einer CA nicht dar­in, Inhal­te zu fil­tern.

Das ist aber ganz schön nach­läs­sig von Let’s Encrypt, dass sie als Zer­ti­fi­kats­stel­le nicht dar­auf ach­ten, dass auf der zer­ti­fi­zier­ten Web­site kein Übel pas­siert. Man stel­le sich vor, die Zulas­sungs­stel­le wür­de bei der Ver­ga­be von Kenn­zei­chen nicht dafür Sor­ge tra­gen, dass der Fahr­zeug­hal­ter kein Übles im Schil­de führt!

Was macht man nun eigent­lich als ein­fa­cher Web­sur­fer mit der Infor­ma­ti­on, dass ein grü­nes Schloss in der Adress­lei­ste des Brow­sers zu Den­nis Schirr­ma­chers Über­ra­schung gar nicht bedeu­tet, dass da kei­ne Kri­mi­nel­len unter­wegs sind? Die Lösung steht da eigent­lich nur impli­zit:

Die Sub­do­main soll auf einen Ser­ver ver­wei­sen, der unter Kon­trol­le der Kri­mi­nel­len steht und Wer­bung mit Schad­code ver­teilt.

Das wesent­li­che Pro­blem mit dem Geschil­der­ten ist also weder, dass „Online-Gau­ner“ eine Sub­do­main ein­ge­rich­tet haben, noch, dass eine fie­se Zer­ti­fi­zie­rungs­stel­le ein­fach Domains vali­diert, sobald man nach­weist, dass man sie admi­ni­strie­ren kann; das wesent­li­che Pro­blem ist es, dass schäd­li­che Wer­be­ban­ner von die­ser zer­ti­fi­zier­ten Domain aus­ge­lie­fert wer­den. Dage­gen indes gibt es wirk­sa­me Abhil­fe: Ein­fach einen Wer­be­blocker wie Adguard oder uBlock instal­lie­ren. Natür­lich ist in Den­nis Schirr­ma­chers Arti­kel davon aller­dings kei­ne Rede, denn „hei­se online“ will ja auch von irgend­was leben.

Der Arti­kel auf „hei­se online“ ist übri­gens nicht über https abruf­bar. Was das wohl bedeu­tet?