Zertifikate Chaos bei der US-Navy

Geschrieben von Sebastian Klipper am 26. Juli 2009. Berichten Sie über diesen Beitrag via Twitter oder Xing.

Wer auf http://www.navy.mil zugreift sieht auf den ersten Blick eine ganz normale Website. Interessant wird es erst, wenn man versucht über das https-Protokoll auf https://www.navy.mil zuzugreifen. Firefox warnt:

www.navy.mil verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für a248.e.akamai.net. (Fehlercode: ssl_error_bad_cert_domain)

akamai.net

Wie jetzt? Wer ist denn akamai.net und was macht deren Zertifikat auf dem Navy.mil Server? Die Antwort liefert ein whois:

Registrant:
Akamai Technologies, Inc.
8 Cambridge Center
Cambridge, MA 02142, US
Domain name: AKAMAI.NET

“Unternehmen wie Apple, AUDI und IBM vertrauen bei der Beschleunigung ihrer Webinhalte, Rich Media, Anwendungen und Software im Internet auf Akami”, heißt es im Header unter http://www.akamai.de/ akamai.net, die Domain, für die das Zertifikat ausgestellt wurde konnte nicht gefunden werden:

akamai nicht gefunden

Wo es einen Fehler gibt, gibt es auch noch andere. Eine Google-Suche lieferte mir die offizielle Webseite zu dem Schiff USS New York. Diesmal gleich der Test via https-Protokoll: https://www.pms317.navy.mil. Firefox warnt:

www.pms317.navy.mil verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat abgelaufen ist. Das Zertifikat ist am 17.05.2008 16:10 abgelaufen. (Fehlercode: sec_error_expired_issuer_certificate)

pms317

Zwei Versuche – zwei Treffer. Da muss doch mehr zu holen sein! War es  aber nicht. Auffällig war nur, dass die Navy sehr viele Third-Level-Domains nutzt und dafür keine Wildcard-Zertifikate einsetzt, sondern für jede Domain ein eigenes Zertifikat. Firefox kommt aber auch mit diesen nicht zurecht:

www.navo.navy.mil verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil dem Aussteller-Zertifikat nicht vertraut wird. (Fehlercode: sec_error_untrusted_issuer)

navo

In diesem Fall liegt es nun am Nutzer, ob er dem Zertifikat vertrauen will oder nicht. Die Root-Zertifikate vom Department of Defence findet man unter https://crl.gds.disa.mil/.

Kategorie: Szene.
Tags: , , .

2 Kommentare to “Zertifikate Chaos bei der US-Navy”

  1. Gunnar Porada sagt:
    26.07.2009 um 13:41

    Das Spiel mit den Zertifikaten geht doch noch weiter. Genaugenommen müssen Sie den Fingerprint des Zertifikats vergleichen bzw. kennen, um sicherzustellen, dass es auch wirklich ein echtes Zertifikat ist oder durch Pharming ausgetauscht.

    Wer kann und macht das schon? Und wie vergleicht man den dann _sicher_?

    Lieben Gruss
    Gunnar Porada

  2. Sebastian Klipper sagt:
    26.07.2009 um 14:34

    Es wäre ja schon mal ein Anfang, wenn die Domains übereinstimmen würden – als ersten Schritt meine ich ;-)

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.