Gehackte Zertifikat stellen und die Auswirkungen..

Aloha,

nach längerem mal wieder ein blog post :) Evtl. habt ihr des ja schon mit bekommen das eine CA stelle angriff eines(mehrere)  hacks( hacks kann man eigentlich nicht sagen bei den Sicherheitslücken im System) war

Nun was ist und macht eigentlich eine CA? Ich hatte hier vor einiger zeit ja schonmal was dazu geschrieben als ich meinen Server neu aufgesetzt hatte, nun eine CA ist eigentlich nichts anderes als ein Block (virtuelles) Papier auf dem Steht, welches Zertifikat vertrauenswürdig ist, was den Menschen von DigiNotar passiert ist, das jemand fremdes auf diesen Zettel geschrieben hat das z.b twitter.com / facebook.com / microsoft.com etc. zu einem anderen Server gehören und nicht mehr den eigentlichen Eigentümern.

Was eigentlich kein großes Problem ist, außer wenn man eine gesicherte Verbindung (ssl) zu einem server aufbauen will( u.a Online-Banking), das größere Problem ist, das es zwar nicht nur eine CA stelle gibt sondern richtig viele - und diese “vertrauen” sich untereinander so gut, das sie Zertifikate für sich selber oder noch für eine andere CA ausstellen( gegenseitige Versicherung). Nun kommt es nicht umbedingt förderlich, wenn auf einmal ins eigene system eingebrochen wurde und es nicht zugibt, DigiNotar hatte wohl schon einige einbrüche und einige gefälschte CA’s in umlauf gebracht und da DigiNotar da zwar von wuste aber es keinem anderen gesagt hat, gingen diese gefälschten CA’s munter in umlauf.

Ok. beispiel :)

Ihr wollt Online Banking betreiben, und das auch noch so sicher wie möglich, den es soll ja keiner eure pin/tan etc mitbekommen, deshalb ist in eurem Betriebssystem ein CA Speicher hinterlegt, in diesem Speicher ist z.b ein Zertifikat von DigiNotar, dieses bestätigt z.b das das Zertifikat welches ihr von eurer Bank bekommt wirklich von eurer Bank ist und nicht von jemand anders( finde den fehler im CA system…)

also - traue keinem Zertifikat, welches du nicht selber gefälscht oder erstellt hast :)

btw. wer meinen blog mit https://blog.alexdpsg.net/ ansurft stellt fest( wenn er auf das https:// klickt) das das Zertifikat von mir selber für meinen Blog ausgestellt wurde :) meine CA ist hier zu finden http://daten.alexdpsg.net/alexdpsg_net.crt

have fun