SSL-Zertifikate umgangen
Der Sicherheitsspezialist Jacob Appelbaum hat ein SSL-Zertifikat und den dazugehörigen privaten Schlüssel veröffentlicht, mit denen ein Webserver in verwundbaren Browsern keine Fehlermeldung provoziert – egal für welche Domain er das Zertifikat ausliefert. Phisher könnten dies etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde.
FĂĽr seinen Trick hat er das Zertifikat nach der von Moxie Marlinspike bekannten Methode manipuliert und im Namensfeld (CN, Common Name) ein Nullzeichen eingetragen.
Anders als Marlinspike hat der Sicherheitsexperte das Nullzeichen aber nicht zwischen dem Domainnamen und den Namen der im Besitz von Marlinspike befindlichen Domain thoughtcrime.org eingetragen. Vielmehr hat er durch den Eintrag *\00thoughtcrime.noisebridge.net quasi eine Wildcard-Zertifikat fĂĽr beliebige Domainnamen geschaffen.
- Quelle: heise.de (SSL Trickzertifikat)