Avatar von Pickwick81
  • Pickwick81

mehr als 1000 Beiträge seit 12.07.2002

Re: Problem liegt eher bei SSL und dessen Implementierung

wowbagger999 schrieb am 09.11.2018 16:35:

Dazu dann noch das Mitausliefern des Private Keys, was ja auch nicht zum ersten Mal wem passiert ist.

Bei Sennheiser haben sie anscheinend einfach die verschiedenen Zwecke verschiedener Zertifikate nicht richtig im Auge gehabt. Deswegen musste der Schlüssel ausgeliefert werden, denn das an sich ist eigentlich auch kein so großes Problem, sondern nur in der Kombination mit der Tatsache, dass sie ein Wurzelzertifikat anstatt eines abgeleiteten ausgeliefert haben. Erst dadurch kommen Angreifer in die Lage, selbst beliebig weitere Zertifikate auszustellen, können das für beliebige Domains usw.

Hatte unter anderen Betriebssystemen noch nie die Notwendigkeit, groß mit den SSL-Zertifikaten in Browsern herumzudoktern, ist es da leicht so viel anders, wenn mal ein Root-Zertifikat installiert ist?

Entweder hast du das einfach nur nicht mitbekommen, weil Software das im Hintergrund geregelt hat, oder du hast einfach nicht die nötigen Anwendungsfälle. Im konkreten Fall will der Anwender eine Webanwendung im Browser ausführen, die auf das Headset zugreift, dafür schreiben die Standard Kommunikation per Websocket vor und die Browser aus Sicherheitsgründen HTTPS und schwupps, brauchste ein Verfahren ganz ähnlich wie im Artikel.

Bewerten
- +
Anzeige