Hi !

Für die Fälle in denen ich doch mit dem Browser auf mein Girokonto zugreifen muss verwende ich Chromium da dieser Browser als sehr sicher gilt, und weil ich ihn sonst für nichts anderes einsetze.

Heute habe ich aber dumm geguckt: Nach der Heartbleed Lücke wurde das Zertifikat für diese Test-Challenge Website zurückgerufen:

https://www.cloudflarechallenge.com/heartbleed

Firefox warnt brav wenn man auf die Seite zugreifen will, unter Chromium (Standardeinstellungen) wird sie ohne jeden Warnhinweis angezeigt. Ich habe gedacht ich sehe nicht recht- und finde in den Einstellungen dass die Checkbox "Zertifikate prüfen" in der Standardeinstellung deaktiviert ist. Wenn man sie aktiviert verweigert auch Chromium den Zugriff.

Bei einem Browser der als sicher gilt halte ich das für eine ziemliche Schwachstelle.

Nicht der Browser ist unsicher, sondern das Verfahren. Es ist so ziemlich der letzte Quark, dass die Verbindung zu einem weiteren Server bestehen muss, damit die Sperrlisten greifen bei OCSP. Ähnliches gilt für CRL. Beide Verfahren sind unpraktikabel und daher ist zumindest OCSP in Chrome deaktiviert.

Merci!

Scheint wirklich fragwürdig zu sein:

http://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Vor-_und_Nachteile

gerade das hier:
Allerdings sieht der Standard vor, dass ein OCSP-Responder bereits dann die Antwort „good“ liefert, wenn das Zertifikat nicht in einer Sperrliste gelistet ist; in diesem Fall könnte das Zertifikat auch gar nicht ausgestellt worden sein, d. h. gefälscht sein. ist ja ziemlicher Blödsinn.

Aber natürlich ist erstmal wieder das Böse Google schuld. Vielleicht haben die auch einfach nur als erstes geschaltet und unterstützen garnicht mehr so einen unsicheren Kram.

Wenn du Sicherheit willst, überprüfe die Zertifikate manuell. Willst du das nicht, reicht dir die Sicherheit aus, die dir geboten wird.

Ehrlich gesagt wechselt meine Kritik hier von Google auf die Leute die dieses "Sicherheits"protokoll definiert haben:

Als Laie will ich mich darauf verlassen können dass wenn oben in der Adressleiste "https" steht und die Adresse in Grün gedruckt wird, die Verbindung sicher ist - andernfalls erwarte ich eine Warnung im Browser, z.B. eine Warnung dass die Existenz des Zertifikats nicht überprüfbar ist.

Alles andere ist vorgetäuschte Sicherheit- und da ist Chrome auch nicht besser da die Seite als ganz normale https Verbindung angezeigt wird.

Hier wird es auf Heise.de für Leute wie mich ausführlicher erklärt... vielen Dank!

Trotzdem hätte ich von den Entwicklern erwartet dass sie eben im Falle einer fehlgeschlagenen Verifikation einfach eine Warnung "konnte Identität nicht verifizieren" ausgeben. Je nach Anwendung kann der Nutzer dann entscheiden ob er der Verbindung vertraut oder nicht.

http://www.heise.de/newsticker/meldung/Heartbleed-und-das-Sperrproblem-von-SSL-2174254.html

Den Firefox soll man über about:config konfigurieren können, dass er sich so verhält wie de es möchtest. Bei anderen Browsern scheint das nicht zu gehen.