Schwachstelle CA/SSL-Zertifikat?

Die gewollte Designschwäche von HTTPS-Verbindungen sollte nicht ignoriert werden. Sie kann wohl nicht als direkte Schwäche von SSL und SSL-Zertifikaten selbst betrachtet werden, doch durch die schiere Anzahl von CAs können wir uns nie ganz sicher sein, dass nicht ggf. doch jemand mithört.

Durch den kurzen veröffentlichen Blogbeitrag von Matt Blaze, habe ich nochmal kurz über die Sicherheit von SSL nachgedacht, und habe es einfach mal selber mit gesponnen. Selbst wenn nun eine Sachen fiktiv sind, so sind sie nicht komplett abwegig.

Ok, es hört sich für den Einen oder Anderen abwegig an, dass jemand eine Man-In-The-Middle-Attacke machen kann, wenn eine Website (o.ä.) mittels SSL-Zertifikat gesichert wird. Trotzdem ist es denkbar, wenn die angreifende Person Zugriff auf ein verbreitetes CA-Zertifikat hat. Immerhin müssen wir uns hier vor Augen führen, dass viele CA-Zertifikate bereits standardmäßig mit dem Betriebssystem oder Browser ausgeliefert werden. Und genau das kann der Knackpunkt sein.
So haben einige Open-Source-Distributionen bspw. CAcert als CA-Zertifikat hinzugefügt, bei welcher durchaus Missbrauch möglich ist. Aber auch wissen wir nicht, wie die kommerziellen Anbieter mit ihren CAs umgehen, ob nicht ggf. sogar den Geheimdiensten im entsprechenden Land Zugriff auf die CA gewährt wird, so dass beliebige SSL-Zertifikate ausstellt werden könnten, oder es selber missbrauchen, kann wohl keiner so einfach widerlegen (oder beweisen). Auch gibt es immer wieder Firmen, die sogenannte kostenlose SSL-Zertifikate anbieten. StartCom, eine israelische Firma, ist eine solche CA, dessen kostenlose Zertifikate werden nur mittels E-Mail validiert. Das CA-Zertifikat von StartCom ist auch entsprechend verbreitet, so dass es schnell in einen Browser zur Verfügung steht. Ich selber habe bei der letzten Neuinstallation es noch händisch entfernt.

Daher sollte wohl immer im Hinterkopf gehalten werden, SSL-Zertifikate sollen zur Absicherung des Datenverkehrs dienen, daher ist es sehr ratsam, diese zu verwenden. Doch muss hier auch sensibilisiert werden, dass nicht jeder CA vertraut werden sollte, und das jeder selber dafür Verantwortlich ist, bedenkliche Zertifikate zu löschen, welche ggf. durch Betriebssystem oder Browser mitgeliefert werden. Selbst dann bleibt immer noch das übliche Restrisiko.
Wer also sehr sicher gehen möchte beim Datentransfer, legt seine eigene CA an, verbreitet Sie auf seine Clients und wirft danach alle anderen CAs raus.