{"id":11055,"date":"2016-01-08T22:06:01","date_gmt":"2016-01-08T21:06:01","guid":{"rendered":"https:\/\/tuxproject.de\/blog\/?p=11055"},"modified":"2016-01-09T15:12:05","modified_gmt":"2016-01-09T14:12:05","slug":"medienkritik-xciv-wie-dennis-schirrmacher-einmal-ssl-nicht-verstand","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2016\/01\/medienkritik-xciv-wie-dennis-schirrmacher-einmal-ssl-nicht-verstand\/","title":{"rendered":"Medienkritik XCIV: Wie Dennis Schirrmacher einmal SSL nicht verstand"},"content":{"rendered":"

Manch\u00admal, wenn bei \u201cheise online\u201d keinem Redak\u00adteur mehr etwas zu irgendwelchen Kino\u00adseifenopern ein\u00adf\u00e4llt (siehe hier<\/a>, hier<\/a>, hier<\/a> u.a.), wagt ein\u00ader von ihnen den ger\u00adadezu frechen Vorschlag zu machen, man k\u00f6nne ja stattdessen etwas \u00fcber diese komis\u00adche Tech\u00adnik, von der ger\u00adade alle reden, bericht\u00aden; hppt<\/a>, Inter\u00adnett und wie das alles hei\u00dft. Dann kommt ein lustiger Artikel wie dieser hier<\/a> her\u00adaus, dessen Autor Den\u00adnis Schirrma\u00adch\u00ader (\u201cMedi\u00aden\u00adwis\u00adsenschaftler\u201d, zuvor bei der auch nicht viel besseren Zeitschrift \u201cAUDIO TEST\u201d als Chefredak\u00adteur besch\u00e4ftigt) schon in der Ein\u00adleitung von einem Pub\u00adlikum aus\u00adge\u00adht, das eigentlich auch viel lieber etwas \u00fcber irgendwelche Filme lesen w\u00fcrde:<\/p>\n

HTTPS-Web\u00adseit\u00aden weck\u00aden Ver\u00adtrauen.<\/p><\/blockquote>\n

Da auch diese Webpr\u00e4senz hier, auf der ihr diesen Text lesen k\u00f6n\u00adnt, via https<\/em> aus\u00adgeliefert wird (und damit wahrschein\u00adlich eine \u201cHTTPS-Web\u00adseite\u201d ist), bedeutet das, ihr k\u00f6n\u00adnt mir ver\u00adtrauen. Ich habe mir n\u00e4m\u00adlich ein Zer\u00adti\u00adfikat instal\u00adliert, mit dem ich nachgewiesen habe, dass ich Schreibrechte auf dem Web\u00adserv\u00ader habe, und das daf\u00fcr sorgt, dass die \u00dcber\u00adtra\u00adgung manch\u00ader Dat\u00aden zwis\u00adchen euch und mein\u00ader Webpr\u00e4senz ver\u00adschl\u00fcs\u00adselt wird. Damit weise ich wed\u00ader nach, dass ich keine b\u00f6swillige Soft\u00adware auf eurem Rech\u00adn\u00ader instal\u00adlieren m\u00f6chte (na \u2014 JavaScript noch aktiviert?), noch, dass ich iden\u00adtisch mit dem Kasper im Impres\u00adsum bin.<\/p>\n

\"Modern<\/a><\/p>\n

Aber in eurem Brows\u00ader ist m\u00f6glicher\u00adweise ein Schloss vor der Adresse zu sehen. Deswe\u00adgen k\u00f6n\u00adnt ihr mir ver\u00adtrauen.<\/p>\n

Doch auch Online-Gauner k\u00f6n\u00adnen sich oft \u00fcber Umwege ver\u00adtrauensw\u00fcrdi\u00adge Zer\u00adti\u00adfikate ausstellen.<\/p><\/blockquote>\n

Und zwar, indem sie f\u00fcr ihre Gauner\u00adweb\u00adsite ein Zer\u00adti\u00adfikat beantra\u00adgen. K\u00f6n\u00adnt ihr ver\u00adtrauen, ist ein Schloss dran.<\/p>\n

Nun haben Krim\u00adinelle das erste Let\u2019s\u2011Encrypt-Zertifikat genutzt, um Ver\u00adtrauensw\u00fcrdigkeit vorzu\u00adgaukeln.<\/p><\/blockquote>\n

Was Den\u00adnis Schirrma\u00adch\u00ader hier \u201cvor\u00adgaukelt\u201d, m\u00f6chte ich gar nicht weit\u00ader bew\u00aderten, aber offen\u00adbar stellt es f\u00fcr zumin\u00add\u00adest ihn eine bericht\u00adenswerte Neuigkeit dar, dass eine Zer\u00adti\u00adfizierungsstelle (CAc\u00adert, StartSSL, Let\u2019s Encrypt, \u2026) gar nicht wis\u00adsen m\u00f6chte, was der Empf\u00e4nger mit dem Zer\u00adti\u00adfikat vorhat, so lange seine Anfrage valide ist. Ob die Krim\u00adinellen<\/em> damit \u201cVer\u00adtrauensw\u00fcrdigkeit vor\u00adgaukeln\u201d wollen, wei\u00df ich nicht, aber wenn sie \u00fcber ein aus\u00adre\u00adichend viel tech\u00adnis\u00adches Wis\u00adsen ver\u00adf\u00fc\u00adgen, um sturzfrei eine Web\u00adsite einzuricht\u00aden, dann ist davon auszuge\u00adhen, dass das Unsinn ist.<\/p>\n

Online-Gauner waren in der Lage, sich eine Sub\u00addo\u00admain f\u00fcr eine legit\u00adime Domain einzuricht\u00aden und daf\u00fcr erfol\u00adgre\u00adich ein Let\u2019s\u2011Encrypt-Zertifikat zu beantra\u00adgen, warnt Trend Micro.<\/p><\/blockquote>\n

\u201cOnline-Gauner\u201d \u2014 puh, wenig\u00adstens ist noch nicht von \u201cCyber-Gaunern\u201d die Rede \u2014 haben also die DNS-Ein\u00adtr\u00e4ge f\u00fcr eine \u201clegit\u00adime Domain\u201d (wie genau sieht denn eine \u201cille\u00adgit\u00adime Domain\u201d aus?) \u00e4ndern und f\u00fcr die unter ihrer Kon\u00adtrolle ste\u00adhende neue Sub\u00addo\u00admain ein Zer\u00adti\u00adfikat beantra\u00adgen k\u00f6n\u00adnen, da die Zer\u00adti\u00adfizierungsstelle grund\u00ads\u00e4t\u00adzlich davon aus\u00adge\u00adht, dass dir eine Domain, die du ver\u00adwal\u00adtest, auch geh\u00f6ren darf. Die eigentliche Mel\u00addung daran ist, dass eine Domain offen\u00adsichtlich teil\u00adweise mit vollen Recht\u00aden gekapert<\/em> wer\u00adden kon\u00adnte. Das passiert nicht \u00fcber\u00adm\u00e4\u00dfig sel\u00adten, hat aber mit Zer\u00adti\u00adfikat\u00aden erst ein\u00admal nicht beson\u00adders viel zu tun. Das ist Den\u00adnis Schirrma\u00adch\u00ader aber ver\u00admut\u00adlich (zu Recht) nicht inter\u00ades\u00adsant genug, eben weil<\/em> es recht h\u00e4u\u00adfig passiert, und so glaubt er einen ganz anderen Skan\u00addal gefun\u00adden zu haben: Let\u2019s Encrypt verteilt wie bish\u00ader auch CAc\u00adert und StartSSL kosten\u00adlos Zer\u00adti\u00adfikate an Leute, denen eine Domain zu geh\u00f6ren scheint. Kreisch!<\/p>\n

Das Anle\u00adgen ein\u00ader Sub\u00addo\u00admain ist nicht ohne weit\u00aderes m\u00f6glich. Denkbar w\u00e4re, dass die Online-Gauner auf irgen\u00addeinem Weg an die Zugangs\u00addat\u00aden f\u00fcr die Domain-Ver\u00adwal\u00adtung gekom\u00admen sind.<\/p><\/blockquote>\n

Ja, denkbar<\/em> ist sicher\u00adlich richtig, h\u00f6chst\u00adwahrschein\u00adlich<\/em> bis beina\u00adhe als gesichert anzuse\u00adhen<\/em> ist f\u00fcr einen anst\u00e4ndi\u00adgen Redak\u00adteur von \u201cheise online\u201d, der sich mit der Materie, \u00fcber die er bericht\u00aden soll, nicht so recht auszuken\u00adnen scheint, eben zu spez\u00adi\u00adfisch. Unter der \u00dcber\u00adschrift \u201cCA als Fil\u00adter f\u00fcr gef\u00e4hrliche Inhalte?\u201d \u2014 Spoil\u00ader: nein \u2014 find\u00adet er daf\u00fcr schlie\u00dflich doch noch einen Schuldigen daran, dass Krim\u00adinelle sich ein\u00adfach irgendwelche Domains aneignen k\u00f6n\u00adnen:<\/p>\n

Let\u2019s Encrypt sieht den Auf\u00adgaben\u00adbere\u00adich ein\u00ader CA nicht darin, Inhalte zu fil\u00adtern.<\/p><\/blockquote>\n

Das ist aber ganz sch\u00f6n nach\u00adl\u00e4s\u00adsig von Let\u2019s Encrypt, dass sie als Zer\u00adti\u00adfikatsstelle nicht darauf acht\u00aden, dass auf der zer\u00adti\u00adfizierten Web\u00adsite kein \u00dcbel passiert. Man stelle sich vor, die Zulas\u00adsungsstelle w\u00fcrde bei der Ver\u00adgabe von Kennze\u00adichen nicht daf\u00fcr Sorge tra\u00adgen, dass der Fahrzeughal\u00adter kein \u00dcbles im Schilde f\u00fchrt!<\/p>\n

Was macht man nun eigentlich als ein\u00adfach\u00ader Web\u00adsurfer mit der Infor\u00adma\u00adtion, dass ein gr\u00fcnes Schloss in der Adressleiste des Browsers zu Den\u00adnis Schirrma\u00adch\u00aders \u00dcber\u00adraschung gar nicht bedeutet, dass da keine Krim\u00adinellen unter\u00adwegs sind? Die L\u00f6sung ste\u00adht da eigentlich nur impliz\u00adit:<\/p>\n

Die Sub\u00addo\u00admain soll auf einen Serv\u00ader ver\u00adweisen, der unter Kon\u00adtrolle der Krim\u00adinellen ste\u00adht und Wer\u00adbung mit Schad\u00adcode verteilt.<\/p><\/blockquote>\n

Das wesentliche Prob\u00adlem mit dem Geschilderten ist also wed\u00ader, dass \u201cOnline-Gauner\u201d eine Sub\u00addo\u00admain ein\u00adgerichtet haben, noch, dass eine fiese Zer\u00adti\u00adfizierungsstelle ein\u00adfach Domains vali\u00addiert, sobald man nach\u00adweist, dass man sie admin\u00adistri\u00aderen kann; das wesentliche Prob\u00adlem ist es, dass sch\u00e4dliche Wer\u00adbe\u00adban\u00adner von dieser zer\u00adti\u00adfizierten Domain aus\u00adgeliefert wer\u00adden. Dage\u00adgen indes gibt es wirk\u00adsame Abhil\u00adfe: Ein\u00adfach einen Wer\u00adbe\u00adblock\u00ader wie Adguard<\/a> oder uBlock<\/a> instal\u00adlieren. Nat\u00fcr\u00adlich<\/em> ist in Den\u00adnis Schirrma\u00adch\u00aders Artikel davon allerd\u00adings keine Rede, denn \u201cheise online\u201d will ja auch von irgend\u00adwas leben.<\/p>\n

Der Artikel auf \u201cheise online\u201d ist \u00fcbri\u00adgens nicht \u00fcber https<\/em> abruf\u00adbar. Was das wohl bedeutet?<\/p>\n","protected":false},"excerpt":{"rendered":"

Manch\u00admal, wenn bei \u201cheise online\u201d keinem Redak\u00adteur mehr etwas zu irgendwelchen Kino\u00adseifenopern ein\u00adf\u00e4llt (siehe hier, hier, hier u.a.), wagt ein\u00ader von ihnen den ger\u00adadezu frechen Vorschlag zu machen, man k\u00f6nne ja stattdessen etwas \u00fcber diese komis\u00adche Tech\u00adnik, von der ger\u00adade alle reden, bericht\u00aden; hppt, Inter\u00adnett und wie das alles hei\u00dft. Dann kommt ein lustiger Artikel \u2026<\/p>\n

\u2018Medi\u00adenkri\u00adtik XCIV: Wie Den\u00adnis Schirrma\u00adch\u00ader ein\u00admal SSL nicht ver\u00adstand\u2019 weit\u00ader\u00adlesen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"footnotes":""},"categories":[13,19],"tags":[],"series":[],"class_list":["post-11055","post","type-post","status-publish","format-standard","hentry","category-in-den-nachrichten","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/11055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=11055"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/11055\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=11055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=11055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=11055"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=11055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}