4. Januar 2013 22:19

Re: Was ich nicht ganz verstehe...

Der Phil schrieb am 4. Januar 2013 17:12

> Ich dachte, bei HTTPS bzw. SSL erhält man von der Webseite, zu der
> man sich verbinden will, deren Zertifikat und kann dieses dann anhand
> der vorinstallierten Root-Zertifikate überprüfen.

Die "kaputten" Root-Zertifikate sind eben auch in der
vorinstallierten List.

> Wie kommt es nun, dass Nutzer beim Zugriff auf die "echten"
> Google-Dienste das falsche Zertifikat präsentiert bekamen? (siehe 2.
> Abschnitt in der Meldung)

$Böse schafft es irgendwie dem User eine falsche IP für Google
unterzuschieben - durch einen Eintrag im Hosts-File oder durch einen
DNS Server der unter seiner Kontrolle steht. Derartiges wurde und
wird von vielen Trojaner gemacht.
Dort läuft eine Art Proxy der dem User aber das falsche Zertifikat
präsentiert. Der Browser überprüft es, und es ist mit einer
"Authority" aus der vorinstallierten Liste unterschrieben. Für des
Users Browser scheint also alles Bestens. Nur mit zusätzlichen Tools
wie z.B. Certificate Patrol wird es dem User auffallen, daß Googles
Cert plötzlich komplett anders ist.

Anzeige