In letzter Zeit öfters gesehen, abgelaufene SSL-Zertifikate. Und da geht es nicht nur um kleine, unbedeutende Blogs, die mit SSL-Verschlüsselung sich als der Datenschützer schlechthin darstellen wollen.
Erst eben ist uns ein abgelaufenes Zertifikat des simplytel.de Kundenservice ins Auge gesprungen, https://service.simplytel.de/frei/LOGIN . Hier geht es um Vertragsmodlitäten incl. Adresse, Kontodaten, sowie EVN. Das Zertifikat ist ausgestellt von Equifax und vor zwei Tagen abgelaufen. Jetzt kann man sich fragen, warum das noch nicht gefixed wurde. Ein neues Zertifikat anzufordern und zu installieren dauert nun wirklich nicht lange.
Ich habe zwei Theorien, wobei diese kombinierbar sind:
1. Kein Kunde kümmert den Zertifikatfehler, wissen nichts damit anzufangen und ignorieren sie letzendlich.
2. Fehler wurde vorgestern bemerkt, IT-Unternehmen XY, das die Seite betreut, wurde kontaktiert. Unternehmen XY nennt Simply einen Preis fürs neue Zertifkat und jetzt verhandeln sie um den Preis, der nicht verhandelbar ist.
Jetzt nochmal eine kurze Erläuterung für Zertifikatsfehlerwegklicker.
Du darfst Zertifikatsfehler nicht ignorieren, nein du darfst nicht. Nehmen wir an, Onlinebanking von Bank A, bringt ein Zertifikatsfehler. Das kann nun zwei Ursachen haben:
1. Zertifikat ist wirklich ausgelaufen.
2. Das sitzt einer im WLAN und macht eine Man-In-The-Middle-Attack. Alle Daten laufen nun über den Mittelsmann und der kann dann so einiges manipulieren. Eine Man-In-The Middle-Attack kann man nur ausschließen, wenn ein gültiges Zertifikat für den richtigen Hostname vorliegt.
Mal gucken, wann Simplytel das Zertifikat erneuert.
Und wie schon sehe, mein SSL-Zertifikat für den Blog und ein paar weiteren Anwendungen ist ebenfalls abgelaufen und bedarf ein paar neue Hosteinträge. Huups.
Zur Info, hab den Blogpost nicht fehlergelesen.
UPDATE:
Hab eine E-Mail verschickt: ...
"Von abgelaufenen Zertifikaten" vollständig lesen
