- Registriert
- 01. Sep. 2012
- Beiträge
- 17.485
- Reaktionspunkte
- 9
- Punkte
- 414
Nutzer sollten in den nächsten Wochen etwas aufmerksamer sein, wenn sie in den letzten Wochen eine Bestätigungsemail für eine Zertifikatsanfrage von Commodo bekommen haben. Es gab bis vor wenigen Tagen eine Lücke in deren Zertifikatsbestellsystem (Details), so dass sich darüber jemand unerlaubt ein gültiges SSL-Zertifikat ausstellen lassen konnte.
Dabei geht es um Zertifikate, die mit einer Laufzeit von 30 Tagen ausgestellt werden. Da die Lücke am 25.7. geschlossen wurde, sind also in den nächsten knapp 4 Wochen noch prinzipiell Man-in-the-Middle-Attacken möglich, über die bspw. auch Benutzerkennungen mitgelesen werden könnten. Für Betroffene ist es also keine schlechte Idee, Passwörter zu ändern (auf jeden Fall Ende August) und bis dahin einen externen Zugriff einzuschränken bzw. einen VPN-Tunnel mit entsprechender Absicherung (bspw. über ein Client-Zertifikat) zu nutzen.
Dabei geht es um Zertifikate, die mit einer Laufzeit von 30 Tagen ausgestellt werden. Da die Lücke am 25.7. geschlossen wurde, sind also in den nächsten knapp 4 Wochen noch prinzipiell Man-in-the-Middle-Attacken möglich, über die bspw. auch Benutzerkennungen mitgelesen werden könnten. Für Betroffene ist es also keine schlechte Idee, Passwörter zu ändern (auf jeden Fall Ende August) und bis dahin einen externen Zugriff einzuschränken bzw. einen VPN-Tunnel mit entsprechender Absicherung (bspw. über ein Client-Zertifikat) zu nutzen.
