SSL wird benutzt um die Kommunikation im Internet sicher zu machen. Sobald man eine Seite mit https:// statt http:// besucht, wird die Verbindung verschlüsselt und kann nicht mehr abgehört werden.
Das einzige Problem, das weiterhin besteht ist ein sogenannter Man-in-the-Middle-Angriff. Wenn Sie versuchen mit ihrer Bank unter https://www.bank.de eine Überweisung einzureichen, so kann der Angreifer ihre Verbindung abfangen und sich als https://www.bank.de ausgeben und die Daten mit einem ihm bekannten Schlüssel verschlüsseln. Wenn er die Daten dann an die echte Bank weiterleitet, so sehen sie keinen Unterschied und der Angreifer kann alle Passwörter mitlesen und im entscheidenden Moment die Zielkontonummer und den Betrag ändern.
Um das zu verhindert, muss jede verschlüsselte Verbindung ein Zertifikat haben. Dieses kann man mit einem Ausweis gleichsetzten, der bestätigt, dass der für die Verschlüsselung verwendete Schlüssel auch tatsächlich zu der Adresse www.bank.de gehört. Dieser Ausweis ist auch nur eine bestimmte Zeit gültig, falls also der Name des Besitzers nicht mit der im Browser eingegeben Adresse übereinstimmt oder das Zertifikat schon abgelaufen ist, so wird eine Warnung angezeigt.
In einer Forschungsarbeit bezweifeln die Wissenschaftler Christopher Soghoian and Sid Stamm nun, das diese Methode sicher ist. Da in einigen Ländern die Regierungsbehörden vermutlich die Macht haben Zertifizierungsstellen, die solche Ausweise für Domains ausstellen, zu zwingen ihnen beliebige Zertifikate zu geben. Auch einige staatliche Zertifizierungsstellen werden von den gängigen Browsern ohne Nachfrage akzeptiert. Anscheinend wird diese Methode schon eingesetzt, da den Forschern beim Hersteller Packet Forensics eine Produkt aufgefallen ist, das genau für diesen Einsatz gebaut wurde. Damit können beliebige Verbindungen abgehört werden, wenn ein gültiges Zertifikat für die Domain vorhanden ist.
Abhilfe soll eine Erweiterung für Firefox schaffe, die zur Zeit entwickelt wird. Mit der Certloc genannten Erweiterung, soll der Anwender gewarnt werden, falls sich ein Zertifikat ändert und der Verdacht eine Manipulation besteht. Bis diese Erweiterung fertig ist, bleibt nur bei wichtigen Verbindungen das Zertifikat selbst anzuschauen und falls die lokale Bank auf einmal ein Zertifikat aus China oder USA vorweist die Verbindung abzubrechen.
http://www.heise.de/newsticker/meldung/EFF-zweifelt-an-Abhoersicherheit-von-SSL-963857.html
