Die Warnung wies in einem solchen Fall darauf hin, dass die Site, die der Nutzer gerade besuchen wollte, gekapert sein könne. Das ging vielen Nutzern und auch Site-Betreibern zu weit. Sie argwöhnten, dass Mozilla nur die Zertifikate von Vertragspartnern im SSL-Bereich akzeptiere. Dem ist nicht so, hieß es jetzt in Blogs in den USA.
Außerdem spreche die Tatsache, dass die renommierte Universität so schnell eine Abhilfe gefunden hat, für den Browserhersteller. Der Patch von Carnegie Mellon tut nicht mehr, als dem Nutzer einen ruckelfreien Weg an der Warnung vorbei zu eröffnen. Er kann selbst entscheiden, ob er der Site vertraut. Er wird trotzdem gewarnt. Aber er wird nach den ersten Schritten auf die potentiell nicht abgesicherte Site nicht mehr von weiteren Pop-up-Fenstern belästigt, hieß es.
In diesem Zusammenhang wurde auch die Frage der Zertifikate neu aufgerollt. Einige anonyme Blogger stellen das System der Zertifizierung an sich in Frage, weil immer mehr neue “Web-Notare” mit den Zertifikaten beschäftigt sind. Die Kontrolle und die richtige Einschätzung dieser Stellen durch den Nutzer werden unmöglich.
Ein weiterer Blogger, den die Zeitschrift Networkworld zitierte, wies auf einen anderen Aspekt hin. Zirka 15 Prozent der Fortune-1000-Unternehmen haben ihm zufolge ständig eine abgelaufene SSL-Regelung. Pikanterweise verwies ein Nutzer von Firefox 3.0 darauf, dass auch das US-Verteidigungsministerium zu den Sites gehöre, die von Firefox 3.0 als potentiell gefährlich getaggt werden. Auch dort werden die 15 Dollar, die eine Erneuerung des Zertifikates demnach kostet, offensichtlich gespart.
Page: 1 2
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.
Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.
SAS bietet einsatzfertige KI-Modelle für konkrete Herausforderungen wie Betrugserkennung und Lieferkettenoptimierung.
Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.
View Comments
?
Es gab kein "gefährliches Leck", keinen "Einstiegspunkt für Hacker", sondern Firefox hat sich lediglich zu heftig beschwert, wenn der Aussteller eines Zertifikates nicht zu den von Firefox (oder seinem Benutzer, der konnte auch vorher schon selbst entscheiden, wem er vertraut) akkreditierten gehörte.
Begriffe wie "wirklich vertrauenswürdig" sind in dem Zusammenhang absolut unsachlich.
Zertifikate müssen auch nicht "abgesichert" werden, auch der Site-Betreiber hat kein Sicherheits-Problem, das ist Humbug.
Fakt ist: egal was für ein Zertifikat verwendet wird, die Verbindung ist verschlüsselt. Passwörter, Daten, die ich in ein Formular eingebe, Seiten die ich abrufe, sind verschlüsselt, niemand kann sie mitlesen. Alles weitere in der Diskussion um Zertifikate dreht sich darum, ob die Seite, die ich sehe, tatsächlich die richtige ist. Hierfür gibt es die "Notare" - im Amtsdeutsch (SigG) Zertifikatsdiensteanbieter - die über ihre Geschäftsprozesse dafür sorgen sollen, dass nur der ein Zertifikat für http://www.meine-firma.de bekommt, der dazu auch berechtigt ist. Das klappt ganz gut, kostet aber nach meiner Erfahrung mehr als "15 Dollar". Die größten Anbieter sind in Firefox "schon drin". Die Probleme treten nur dann auf, wenn jemand ein Zertifikat von einem anderen Anbieter, oder z.B. ein eigenes verwendet. Mozilla steckt viel Mühe in die Auswahl der mitgelieferten Wurzel-Zertifikate. Die Idee dabei ist, dass Mozilla anhand fester Kriterien entscheidet, welche Anbieter "vertrauenswürdig" sind - im Übrigen gilt das dann noch lange nicht für die WWW-Seiten der Kunden.