Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 731552

icertificate GmbH (SSLplus) Werner-von-Siemens-Str. 15 53340 Meckenheim, Deutschland https://www.sslplus.de
Ansprechpartner:in Herr Henning Eiden +49 228 90907050

Warnung vor gefälschtem Microsoft SSL-Zertifikat

(PresseBox) (Bonn, )
Einem Experten ist es gelungen sich für die finnische Microsoft Domain "live.fi" ein SSL Zertifikat ausstellen zu lassen. Um nicht Opfer eines Man-in-the-Middle Angriff zu werden, wird dringend dazu geraten das Zertifikat zu blockieren.

Dem Finnen war es gelungen sich eine Email-Adresse unterhalb der Domain "live.fi" zu registrieren, mit welcher er sich ein SSL Zertifikat für die Windows Live Services ausstellen lassen konnte. Die hostmaster-Adresse die scheinbar verwendet wurde, war hierzu in der Lage den von Comodo versendeten Link zu empfangen und zu bestätigen.

Möglich macht dies die Domainvalidierung, bei welcher die Zertifizierungsstelle die Email-Adressen admin/administrator/webmaster/hostmaster/postmaster@domain.de als Indikator für die Domaininhaberschaft anerkennt.

Laut dem Experten wurde Microsoft mehrmals auf diesen Fehler hingewiesen, die Kontaktversuchen liefen allerdings ins Leere. Die CA Comodo hat derweil das gefälschte Zertifikat zurückgezogen.

Obwohl die Ausstellung des SSL Zertifikates ein reiner Test gewesen sein soll und nicht für Angriffe gedacht sei, empfiehlt Microsoft das gefälschte Zertifikat umgehend zu blockieren.

Windows-Nutzer aktueller Versionen (ab Windows 8) erhalten hierzu ein automatisches Update, Nutzer von älteren Versionen sollten das Update KB2917500 manuell durchführen. Dies betrifft die Browser Internet Explorer und Google Chrome.

Nutzer von anderen Browsern wird ebenfalls dringend empfohlen auf die neusten Updates der Hersteller zu achten.

Bleibt abschließend die Frage offen, ob die Emailvalidierung als Methode genügt, um die Signierung einer Zertifikatsanfrage zu veranlassen oder ob über alternative Methoden nachgedacht werden sollte. Denn Microsoft steht nicht alleine da, wenn es um die Vorbelegung generischer Emailadressen geht, die für die Adressierung von Postmastern und Hostmastern gedacht sind (Vgl. RFC2142).

Gegenwärtig bieten die meisten CAs die Möglichkeit an, eine Validierung des Anfragenden über Einträge im DNS vorzunehmen. Auch die Überprüfung des Anfragenden an Hand von Dateien mit speziellen Inhalten oder Namen auf Webservern, welche die entsprechende Domain bereitstellen, ist möglich.

icertificate bietet unter folgendem Link im eigenen Wiki weitere Informationen, Neuigkeiten und weiterführende Links zu den Microsoft.

Website Promotion

Website Promotion
icertificate GmbH Wiki

icertificate GmbH (SSLplus)

Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.