ubuntuusers.de

Hallo,

wenn ein SSL Zertifikat abeglaufen ist, wird die Verbidnung doch nicht unsicherer oder? Man muss halt nur selbst nochmal drauf schauen ob es das richtige Zertifikat ist und das Problem ist natürlich, dass Benutzer trainiert werden Fehlermeldungen zu ignorieren. Aber macht es die Verbindung unsicherer als mit aktuellem Zertifikat?

Gruß

jilbi schrieb:

Aber macht es die Verbindung unsicherer als mit aktuellem Zertifikat?

Das Ablaufen des Zertifikats ändert nichts an Verschlüsselungsmethoden oder dergleichen. Unsicher(er) ist es nur, weil kaum jemand das Zertifikat händisch überprüft. Wer also dann einfach nur blind bestätigt kann in dem Fall durchaus einer MITM-Attacke zum Opfer fallen.

jilbi schrieb:

Man muss halt nur selbst nochmal drauf schauen ob es das richtige Zertifikat ist

Du allein kannst das aber nicht beurteilen, solange Du das Zertifikat nicht z.B. persönlich von einem Verantwortlichen der Webseite in die Hand gedrückt bekommen hast.

Was in dem Zerfikat steht, kann der Aussteller frei wählen. Deswegen werden Zertifikate in der Regel von Zertifizierungsstellen (CA – Certificate Authority) signiert, was z.B. der Webbrowser dann anhand der ihm von den diversen CAs vorliegenden Root-Zertifikaten mathematisch überprüft. Fehlt diese CA-Signatur oder ist das Zerfikat abgelaufen, ist entsprechend unsicher, ob es wirklich (noch) vom Betreiber der Webseite benutzt wird oder sich jemand dazwischen gehängt hat (MITM – Man In The Middle).

Siehe auch

• Zertifizierungsstelle

• TLS: Funktionsweise

• Man-in-the-Middle-Angriff

naja, aber es ist zumindest weiterhin sicher, dass es einmal von dem Betreiber benutzt WURDE und wenn man sieht dass es einfach nur vor einer woche abgelaufen ist und man vom Betreiber nicht hört, dass das CE auch noch zusätzlich kompromitiert wurde sollte es ja ok sein?!

Kommt halt wie immer auf das Sicherheitsbedürfnis an. Beim normalen Surfen ist sowas ziemlich egal. Sobald Benutzerdaten ins Spiel kommen, würde ich sowas nur bei unkritischen Webseiten wie einem Vereinsforum o.ä. machen – ggf. nach Nachfrage bei deren Betreibern. Beim Homebanking und Shopping oder im beruflichen Umfeld (Login auf dem Firmenserver) ist es ein No-Go.

edit: Man muss dazu sagen, dass z.B. ubuntuusers.de viele Jahre gänzlich ohne Verschlüsselung lief. 😈

Hallo, ich habe mir von einem Zertifikatshersteller sagen lassen, dass keine Unsicherheit besteht.

Bei Einzelheiten würde ich direkt den Zertifikatshersteller fragen, da es einen Support gibt!.

gruss

archondis schrieb:

Hallo, ich habe mir von einem Zertifikatshersteller sagen lassen, dass keine Unsicherheit besteht.

Welcher Hersteller? Worin keine Unsicherheit? So kurz und vage ist diese Aussage überhaupt nicht bewertbar.

es war von psw.net, es kommt natürlich darauf an, wie lange das abgelaufen ist. Es ist bei pswnet nicht so, dass genau am Stichtag das SSL Zertifikat keine Sicherheit mehr bietet.

Dass hat mir mal der Support mitgeteilt, da ich alle meine Zertifikate dort beziehe.

Danke für die weiteren Informationen.

Wenn auch prinzipiell richtig, so sollte m.E. ein Zertifikatshersteller darauf achten, seine Zertifikate rechtzeitig zu verlängern, weil danach eben die genannte Unsicherheit besteht, ob diese nun noch gelten oder nicht. Genau dafür sind die Ablaufdaten da.