Gesunde Paranoia
![[RSS Feed]](/img/feed-icon32x32_1.png)
U.a. Artikel und insbesondere die darin verlinkte Forschungsarbeit unter dem Titel 'Certified Lies' beschreiben Mittel und Wege, SSL Verbindungen mit minimalen Indizien abzuhören. Die beschriebenen Methoden stehen staatlichen Stellen problemlos offen, da gerade in USA die Mitarbeit von Firmen bei Abhörmassnahmen recht leicht erzwungen werden kann (inkl. Stillschweigen darüber). Weiters äussern die Autoren der Studie ihre Überzeugung, dass derartige Kosntellationen bereits routinemässig genutzt werden. Neben dem erwähnten Firefox-Plugin, dass auf eine Änderung bei der ausstellenden Behörde einer Website hinweist, bleiben zahlreiche weitere ungeschützte SSL-Verbindungen bei Mail, VPN etc. Somit ist häufig wohl das in schlechtem Ruf stehende selbstunterzeichnete Zertifikat die bessere Lösung: sollte die ausstellende Certificate Authority belästigt werden -- weiss man davon ;-)