{"id":11055,"date":"2016-01-08T22:06:01","date_gmt":"2016-01-08T21:06:01","guid":{"rendered":"https:\/\/tuxproject.de\/blog\/?p=11055"},"modified":"2016-01-09T15:12:05","modified_gmt":"2016-01-09T14:12:05","slug":"medienkritik-xciv-wie-dennis-schirrmacher-einmal-ssl-nicht-verstand","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2016\/01\/medienkritik-xciv-wie-dennis-schirrmacher-einmal-ssl-nicht-verstand\/","title":{"rendered":"Medi\u00aden\u00adkri\u00adtik XCIV: Wie Den\u00adnis Schirr\u00adma\u00adcher ein\u00admal SSL nicht ver\u00adstand"},"content":{"rendered":"

Manch\u00admal, wenn bei \u201ehei\u00adse online\u201c kei\u00adnem Redak\u00adteur mehr etwas zu irgend\u00adwel\u00adchen Kino\u00adsei\u00adfen\u00adopern ein\u00adf\u00e4llt (sie\u00adhe hier<\/a>, hier<\/a>, hier<\/a> u.a.), wagt einer von ihnen den gera\u00adde\u00adzu fre\u00adchen Vor\u00adschlag zu machen, man k\u00f6n\u00adne ja statt\u00addes\u00adsen etwas \u00fcber die\u00adse komi\u00adsche Tech\u00adnik, von der gera\u00adde alle reden, berich\u00adten; hppt<\/a>, Inter\u00adnett und wie das alles hei\u00dft. Dann kommt ein lusti\u00adger Arti\u00adkel wie die\u00adser hier<\/a> her\u00adaus, des\u00adsen Autor Den\u00adnis Schirr\u00adma\u00adcher (\u201eMedi\u00aden\u00adwis\u00adsen\u00adschaft\u00adler\u201c, zuvor bei der auch nicht viel bes\u00adse\u00adren Zeit\u00adschrift \u201eAUDIO TEST\u201c als Chef\u00adre\u00addak\u00adteur besch\u00e4f\u00adtigt) schon in der Ein\u00adlei\u00adtung von einem Publi\u00adkum aus\u00adgeht, das eigent\u00adlich auch viel lie\u00adber etwas \u00fcber irgend\u00adwel\u00adche Fil\u00adme lesen w\u00fcr\u00adde:<\/p>\n

HTTPS-Web\u00adsei\u00adten wecken Ver\u00adtrau\u00aden.<\/p><\/blockquote>\n

Da auch die\u00adse Web\u00adpr\u00e4\u00adsenz hier, auf der ihr die\u00adsen Text lesen k\u00f6nnt, via https<\/em> aus\u00adge\u00adlie\u00adfert wird (und damit wahr\u00adschein\u00adlich eine \u201eHTTPS-Web\u00adsei\u00adte\u201c ist), bedeu\u00adtet das, ihr k\u00f6nnt mir ver\u00adtrau\u00aden. Ich habe mir n\u00e4m\u00adlich ein Zer\u00adti\u00adfi\u00adkat instal\u00adliert, mit dem ich nach\u00adge\u00adwie\u00adsen habe, dass ich Schreib\u00adrech\u00adte auf dem Web\u00adser\u00adver habe, und das daf\u00fcr sorgt, dass die \u00dcber\u00adtra\u00adgung man\u00adcher Daten zwi\u00adschen euch und mei\u00adner Web\u00adpr\u00e4\u00adsenz ver\u00adschl\u00fcs\u00adselt wird. Damit wei\u00adse ich weder nach, dass ich kei\u00adne b\u00f6s\u00adwil\u00adli\u00adge Soft\u00adware auf eurem Rech\u00adner instal\u00adlie\u00adren m\u00f6ch\u00adte (na \u2013 Java\u00adScript noch akti\u00adviert?), noch, dass ich iden\u00adtisch mit dem Kas\u00adper im Impres\u00adsum bin.<\/p>\n

\"Modern<\/a><\/p>\n

Aber in eurem Brow\u00adser ist m\u00f6g\u00adli\u00adcher\u00adwei\u00adse ein Schloss vor der Adres\u00adse zu sehen. Des\u00adwe\u00adgen k\u00f6nnt ihr mir ver\u00adtrau\u00aden.<\/p>\n

Doch auch Online-Gau\u00adner k\u00f6n\u00adnen sich oft \u00fcber Umwe\u00adge ver\u00adtrau\u00adens\u00adw\u00fcr\u00addi\u00adge Zer\u00adti\u00adfi\u00adka\u00adte aus\u00adstel\u00adlen.<\/p><\/blockquote>\n

Und zwar, indem sie f\u00fcr ihre Gau\u00adner\u00adweb\u00adsite ein Zer\u00adti\u00adfi\u00adkat bean\u00adtra\u00adgen. K\u00f6nnt ihr ver\u00adtrau\u00aden, ist ein Schloss dran.<\/p>\n

Nun haben Kri\u00admi\u00adnel\u00adle das erste Let\u2019s\u2011Encrypt-Zertifikat genutzt, um Ver\u00adtrau\u00adens\u00adw\u00fcr\u00addig\u00adkeit vor\u00adzu\u00adgau\u00adkeln.<\/p><\/blockquote>\n

Was Den\u00adnis Schirr\u00adma\u00adcher hier \u201evor\u00adgau\u00adkelt\u201c, m\u00f6ch\u00adte ich gar nicht wei\u00adter bewer\u00adten, aber offen\u00adbar stellt es f\u00fcr zumin\u00addest ihn eine berich\u00adtens\u00adwer\u00adte Neu\u00adig\u00adkeit dar, dass eine Zer\u00adti\u00adfi\u00adzie\u00adrungs\u00adstel\u00adle (CAcert, Start\u00adS\u00adSL, Let\u2019s Encrypt, \u2026) gar nicht wis\u00adsen m\u00f6ch\u00adte, was der Emp\u00adf\u00e4n\u00adger mit dem Zer\u00adti\u00adfi\u00adkat vor\u00adhat, so lan\u00adge sei\u00adne Anfra\u00adge vali\u00adde ist. Ob die Kri\u00admi\u00adnel\u00adlen<\/em> damit \u201eVer\u00adtrau\u00adens\u00adw\u00fcr\u00addig\u00adkeit vor\u00adgau\u00adkeln\u201c wol\u00adlen, wei\u00df ich nicht, aber wenn sie \u00fcber ein aus\u00adrei\u00adchend viel tech\u00adni\u00adsches Wis\u00adsen ver\u00adf\u00fc\u00adgen, um sturz\u00adfrei eine Web\u00adsite ein\u00adzu\u00adrich\u00adten, dann ist davon aus\u00adzu\u00adge\u00adhen, dass das Unsinn ist.<\/p>\n

Online-Gau\u00adner waren in der Lage, sich eine Sub\u00addo\u00admain f\u00fcr eine legi\u00adti\u00adme Domain ein\u00adzu\u00adrich\u00adten und daf\u00fcr erfolg\u00adreich ein Let\u2019s\u2011Encrypt-Zertifikat zu bean\u00adtra\u00adgen, warnt Trend Micro.<\/p><\/blockquote>\n

\u201eOnline-Gau\u00adner\u201c \u2013 puh, wenig\u00adstens ist noch nicht von \u201eCyber-Gau\u00adnern\u201c die Rede \u2013 haben also die DNS-Ein\u00adtr\u00e4\u00adge f\u00fcr eine \u201elegi\u00adti\u00adme Domain\u201c (wie genau sieht denn eine \u201eille\u00adgi\u00adti\u00adme Domain\u201c aus?) \u00e4ndern und f\u00fcr die unter ihrer Kon\u00adtrol\u00adle ste\u00adhen\u00adde neue Sub\u00addo\u00admain ein Zer\u00adti\u00adfi\u00adkat bean\u00adtra\u00adgen k\u00f6n\u00adnen, da die Zer\u00adti\u00adfi\u00adzie\u00adrungs\u00adstel\u00adle grund\u00ads\u00e4tz\u00adlich davon aus\u00adgeht, dass dir eine Domain, die du ver\u00adwal\u00adtest, auch geh\u00f6\u00adren darf. Die eigent\u00adli\u00adche Mel\u00addung dar\u00adan ist, dass eine Domain offen\u00adsicht\u00adlich teil\u00adwei\u00adse mit vol\u00adlen Rech\u00adten geka\u00adpert<\/em> wer\u00adden konn\u00adte. Das pas\u00adsiert nicht \u00fcber\u00adm\u00e4\u00ad\u00dfig sel\u00adten, hat aber mit Zer\u00adti\u00adfi\u00adka\u00adten erst ein\u00admal nicht beson\u00adders viel zu tun. Das ist Den\u00adnis Schirr\u00adma\u00adcher aber ver\u00admut\u00adlich (zu Recht) nicht inter\u00ades\u00adsant genug, eben weil<\/em> es recht h\u00e4u\u00adfig pas\u00adsiert, und so glaubt er einen ganz ande\u00adren Skan\u00addal gefun\u00adden zu haben: Let\u2019s Encrypt ver\u00adteilt wie bis\u00adher auch CAcert und Start\u00adS\u00adSL kosten\u00adlos Zer\u00adti\u00adfi\u00adka\u00adte an Leu\u00adte, denen eine Domain zu geh\u00f6\u00adren scheint. Kreisch!<\/p>\n

Das Anle\u00adgen einer Sub\u00addo\u00admain ist nicht ohne wei\u00adte\u00adres m\u00f6g\u00adlich. Denk\u00adbar w\u00e4re, dass die Online-Gau\u00adner auf irgend\u00adei\u00adnem Weg an die Zugangs\u00adda\u00adten f\u00fcr die Domain-Ver\u00adwal\u00adtung gekom\u00admen sind.<\/p><\/blockquote>\n

Ja, denk\u00adbar<\/em> ist sicher\u00adlich rich\u00adtig, h\u00f6chst\u00adwahr\u00adschein\u00adlich<\/em> bis bei\u00adna\u00adhe als gesi\u00adchert anzu\u00adse\u00adhen<\/em> ist f\u00fcr einen anst\u00e4n\u00addi\u00adgen Redak\u00adteur von \u201ehei\u00adse online\u201c, der sich mit der Mate\u00adrie, \u00fcber die er berich\u00adten soll, nicht so recht aus\u00adzu\u00adken\u00adnen scheint, eben zu spe\u00adzi\u00adfisch. Unter der \u00dcber\u00adschrift \u201eCA als Fil\u00adter f\u00fcr gef\u00e4hr\u00adli\u00adche Inhal\u00adte?\u201c \u2013 Spoi\u00adler: nein \u2013 fin\u00addet er daf\u00fcr schlie\u00df\u00adlich doch noch einen Schul\u00addi\u00adgen dar\u00adan, dass Kri\u00admi\u00adnel\u00adle sich ein\u00adfach irgend\u00adwel\u00adche Domains aneig\u00adnen k\u00f6n\u00adnen:<\/p>\n

Let\u2019s Encrypt sieht den Auf\u00adga\u00adben\u00adbe\u00adreich einer CA nicht dar\u00adin, Inhal\u00adte zu fil\u00adtern.<\/p><\/blockquote>\n

Das ist aber ganz sch\u00f6n nach\u00adl\u00e4s\u00adsig von Let\u2019s Encrypt, dass sie als Zer\u00adti\u00adfi\u00adkats\u00adstel\u00adle nicht dar\u00adauf ach\u00adten, dass auf der zer\u00adti\u00adfi\u00adzier\u00adten Web\u00adsite kein \u00dcbel pas\u00adsiert. Man stel\u00adle sich vor, die Zulas\u00adsungs\u00adstel\u00adle w\u00fcr\u00adde bei der Ver\u00adga\u00adbe von Kenn\u00adzei\u00adchen nicht daf\u00fcr Sor\u00adge tra\u00adgen, dass der Fahr\u00adzeug\u00adhal\u00adter kein \u00dcbles im Schil\u00adde f\u00fchrt!<\/p>\n

Was macht man nun eigent\u00adlich als ein\u00adfa\u00adcher Web\u00adsur\u00adfer mit der Infor\u00adma\u00adti\u00adon, dass ein gr\u00fc\u00adnes Schloss in der Adress\u00adlei\u00adste des Brow\u00adsers zu Den\u00adnis Schirr\u00adma\u00adchers \u00dcber\u00adra\u00adschung gar nicht bedeu\u00adtet, dass da kei\u00adne Kri\u00admi\u00adnel\u00adlen unter\u00adwegs sind? Die L\u00f6sung steht da eigent\u00adlich nur impli\u00adzit:<\/p>\n

Die Sub\u00addo\u00admain soll auf einen Ser\u00adver ver\u00adwei\u00adsen, der unter Kon\u00adtrol\u00adle der Kri\u00admi\u00adnel\u00adlen steht und Wer\u00adbung mit Schad\u00adcode ver\u00adteilt.<\/p><\/blockquote>\n

Das wesent\u00adli\u00adche Pro\u00adblem mit dem Geschil\u00adder\u00adten ist also weder, dass \u201eOnline-Gau\u00adner\u201c eine Sub\u00addo\u00admain ein\u00adge\u00adrich\u00adtet haben, noch, dass eine fie\u00adse Zer\u00adti\u00adfi\u00adzie\u00adrungs\u00adstel\u00adle ein\u00adfach Domains vali\u00addiert, sobald man nach\u00adweist, dass man sie admi\u00adni\u00adstrie\u00adren kann; das wesent\u00adli\u00adche Pro\u00adblem ist es, dass sch\u00e4d\u00adli\u00adche Wer\u00adbe\u00adban\u00adner von die\u00adser zer\u00adti\u00adfi\u00adzier\u00adten Domain aus\u00adge\u00adlie\u00adfert wer\u00adden. Dage\u00adgen indes gibt es wirk\u00adsa\u00adme Abhil\u00adfe: Ein\u00adfach einen Wer\u00adbe\u00adblocker wie Adguard<\/a> oder uBlock<\/a> instal\u00adlie\u00adren. Nat\u00fcr\u00adlich<\/em> ist in Den\u00adnis Schirr\u00adma\u00adchers Arti\u00adkel davon aller\u00addings kei\u00adne Rede, denn \u201ehei\u00adse online\u201c will ja auch von irgend\u00adwas leben.<\/p>\n

Der Arti\u00adkel auf \u201ehei\u00adse online\u201c ist \u00fcbri\u00adgens nicht \u00fcber https<\/em> abruf\u00adbar. Was das wohl bedeu\u00adtet?<\/p>\n","protected":false},"excerpt":{"rendered":"

Manch\u00admal, wenn bei \u201ehei\u00adse online\u201c kei\u00adnem Redak\u00adteur mehr etwas zu irgend\u00adwel\u00adchen Kino\u00adsei\u00adfen\u00adopern ein\u00adf\u00e4llt (sie\u00adhe hier, hier, hier u.a.), wagt einer von ihnen den gera\u00adde\u00adzu fre\u00adchen Vor\u00adschlag zu machen, man k\u00f6n\u00adne ja statt\u00addes\u00adsen etwas \u00fcber die\u00adse komi\u00adsche Tech\u00adnik, von der gera\u00adde alle reden, berich\u00adten; hppt, Inter\u00adnett und wie das alles hei\u00dft. Dann kommt ein lusti\u00adger Arti\u00adkel \u2026<\/p>\n

\u2018Medi\u00aden\u00adkri\u00adtik XCIV: Wie Den\u00adnis Schirr\u00adma\u00adcher ein\u00admal SSL nicht ver\u00adstand\u2019 wei\u00adter\u00adle\u00adsen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":3,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[13,19],"tags":[],"series":[],"class_list":["post-11055","post","type-post","status-publish","format-standard","hentry","category-in-den-nachrichten","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/11055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=11055"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/11055\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=11055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=11055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=11055"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=11055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}