Heute endet die Sicherheitskonferenz DEEPSEC 2009, die seit drei Tagen in Wien stattfindet. Die Liste der Redner und Workshops war mit über 40 Programmpunkten recht ansehnlich. Auch Redner der diesjährigen BlackHat waren mit dabei. Der IT-Sicherheitsexperte Moxie Marlinspike hatte auf der diesjährigen Blackhat-Konferenz bereits zwei Schwachstellen in EV-Zertifikaten vorgestellt (Heise.de berichtete: Neue SSL-Attacken demonstriert und [...]
Das Gefühl der Sicherheit, dass die sogenannten Extended Value Zertifikate (EV) gebracht haben ist eigentlich schon wieder dahin. Mozilla Firefox in den Versionen vor 3.0.13 und 3.5.2 aus der Version 3.5 erlauben es einem Angreifer den Text der Adresszeile zu manipulieren. Besonders ärgerlich: Hat die Webseite des Angreifers ein gültiges SSL-Zertifikat, wird sie von Firefox [...]
Auch die teureren EV-Zertifikate bieten keinen ausreichenden Schutz mehr vor Man-In-The-Middle-Attacken. Im Browser werden die Zertifikate durch eine farbliche Veränderung der Adressleiste angezeigt: Die Verifizierung übernimmt der Browser. Wie aber erkennt der Browser die Echtheit des Zertifikats? Der IT-Sicherheitsexperte Moxie Marlinspike hat auf der diesjährigen Blackhat-Konferenz bereits zwei Schwachstellen vorgestellt. Heise.de berichtete: Neue SSL-Attacken demonstriert [...]
Wer auf http://www.navy.mil zugreift sieht auf den ersten Blick eine ganz normale Website. Interessant wird es erst, wenn man versucht über das https-Protokoll auf https://www.navy.mil zuzugreifen. Firefox warnt: www.navy.mil verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für a248.e.akamai.net. (Fehlercode: ssl_error_bad_cert_domain) Wie jetzt? Wer ist denn akamai.net und was macht deren Zertifikat auf dem Navy.mil [...]
