In letzter Zeit öfters gesehen, abgelaufene SSL-Zertifikate. Und da geht es nicht nur um kleine, unbedeutende Blogs, die mit SSL-Verschlüsselung sich als der Datenschützer schlechthin darstellen wollen.
Erst eben ist uns ein abgelaufenes Zertifikat des simplytel.de Kundenservice ins Auge gesprungen, https://service.simplytel.de/frei/LOGIN . Hier geht es um Vertragsmodlitäten incl. Adresse, Kontodaten, sowie EVN. Das Zertifikat ist ausgestellt von Equifax und vor zwei Tagen abgelaufen. Jetzt kann man sich fragen, warum das noch nicht gefixed wurde. Ein neues Zertifikat anzufordern und zu installieren dauert nun wirklich nicht lange.
Ich habe zwei Theorien, wobei diese kombinierbar sind:
1. Kein Kunde kümmert den Zertifikatfehler, wissen nichts damit anzufangen und ignorieren sie letzendlich.
2. Fehler wurde vorgestern bemerkt, IT-Unternehmen XY, das die Seite betreut, wurde kontaktiert. Unternehmen XY nennt Simply einen Preis fürs neue Zertifkat und jetzt verhandeln sie um den Preis, der nicht verhandelbar ist.
Jetzt nochmal eine kurze Erläuterung für Zertifikatsfehlerwegklicker.
Du darfst Zertifikatsfehler nicht ignorieren, nein du darfst nicht. Nehmen wir an, Onlinebanking von Bank A, bringt ein Zertifikatsfehler. Das kann nun zwei Ursachen haben:
1. Zertifikat ist wirklich ausgelaufen.
2. Das sitzt einer im WLAN und macht eine Man-In-The-Middle-Attack. Alle Daten laufen nun über den Mittelsmann und der kann dann so einiges manipulieren. Eine Man-In-The Middle-Attack kann man nur ausschließen, wenn ein gültiges Zertifikat für den richtigen Hostname vorliegt.
Mal gucken, wann Simplytel das Zertifikat erneuert.
Und wie schon sehe, mein SSL-Zertifikat für den Blog und ein paar weiteren Anwendungen ist ebenfalls abgelaufen und bedarf ein paar neue Hosteinträge. Huups.
Zur Info, hab den Blogpost nicht fehlergelesen.
UPDATE:
Hab eine E-Mail verschickt: ...
UPDATE:
Hab eine E-Mail verschickt:
An: kontakt@simplytel.de, pressestelle@bnetza.de, kontakt@heise.de
Sehr geehrte Damen und Herren,
bei dem Versuch, eine gesicherte Verbindung zu Ihrem Kundenportal [1] herzustellen, erschien lediglich ein Zertifikatsfehler. Das am 10.10.2008 von Equifax ausgestellte Zertifikat ist am 11.10.2009 um 14:05 abgelaufen.
Auch als "Discount"-Provider sollte Ihnen die Sicherheit Ihrer Kunden bei Abruf von persönlichen und geheimen Daten wichtig sein. Ein abgelaufenes Zertifikat bietet potenziellen Angreifern die Möglichkeit ohne großen technischen Aufwand eine Man-In-The-Middle-Attack durchzuführen. Dies stellt ein schwerwiegendes Sicherheitsrisiko dar.
Das Zertifikat ist nun mehr zwei Tage abgelaufen. Dies ist absolut inakzeptabel.
Ich bitte Sie, diesen Zustand schnellstmöglichst zu beheben.
Mit Bitte um Rückmeldung.
[1] https://service.simplytel.de
MfG
Dennis Müller
Wasganzoffizielles
