Menü
Security

c't-SSL-Wächter schützt beim Online-Bezahlen

Von
vorlesen Drucken Kommentare lesen 102 Beiträge

Noch immer verwenden viele Web-Seiten unsichere SSL-Zertifikate unter anderem für Bezahlvorgänge im Internet. Und selbst wenn diese, wie letzte Woche bei T-Pay geschehen, entfernt und widerrufen werden, lassen sie sich noch missbrauchen.

Eine Vorabversion des c't-SSL-Wächters warnt vor dem unsicheren T-Pay-Zertifikat.

Die Telekom hat nach einem Hinweis von heise Security letzte Woche – also rund anderthalb Monate nach dem Bekanntwerden des Debian-Debakels – zwei Zertifikate widerrufen, die der hauseigene Bezahldienst T-Pay zur Absicherung des Bezahlens (www.sicherbezahlen.t-pay.de) und Registrierens mit Bank- und Kreditkartendaten eingesetzt hatte. Trotzdem gelang es heise Security auch nach dem Widerruf, mit Hilfe des schwachen Zertifikats einen verschlüsslten Registrierungsversuch bei T-Pay von einem zweiten Rechner aus zu belauschen, ohne dass der Anwender dies etwa an einer Warnung hätte erkennen können.

Das liegt daran, dass Windows XP in der Standardeinstellung die Widerrufsinformationen nicht prüft und deshalb der Internet Explorer auch für das widerrufene Zertifikat das Schloss für eine angeblich sichere Verbindung einblendet. Das gleiche gilt für Firefox 2. Internet Explorer 7 auf Vista und Firefox 3 warnen zwar vor widerrufenen Zertifikaten, aber noch immer werden regelmäßig neue Sites entdeckt, die schwache Zertifikate einsetzen und keine Warnung erzeugen.

In der seit heute erhältlichen c't-Ausgabe stellt heise Security deshalb den c't SSL-Wächter vor. Der warnt den Nutzer, wenn er eine vermeintlich sichere Webseite ansurft, die mit einem schwachen Zertifikat ausgestattet ist. Er bietet dabei die Möglichkeit, die Übertragung eventuell bereits abgeschickter kritischer Daten zu unterbinden. Der c't-SSL-Wächter funktioniert auf Windows 2000, XP und Vista und stellt sich automatisch auf Deutsch und Englisch ein. Er beschützt alle Anwendungen, die die Windows-Krypto-Schnittstelle benutzen, also insbesondere Internet Explorer und Outlook Express beziehungsweise Windows Mail. Firefox-Anwender können sich mit Márton Ankas Erweiterung SSL Blacklist behelfen, die ebenfalls schwache Zertifikate erkennt – aber leider erst nachdem die fragliche Web-Seite abgerufen wurde.

Siehe dazu auch:

(ju)