Missbrauch von kostenlosen SSL-Zertifikaten

Die kostenlosen SSL-Zertifikate vom Caching-Dienst Cloudflare wurden von Paypal Phisher Online-Ganoven missbraucht. Zur Funktionsweise: In ein paar Sekunden kann sich jeder registrieren, ohne persönliche Daten einzugeben. Cloudflare bietet dabei verschiedene Modelle an: Für das erste ist es erforderlich, beim Domain-Anbieter die DNS-Einstellungen einrichten. Die Zertifizierungsstelle Comodo liefert innerhalb von 24 Stunden ein gültiges SSL-Zertifikat, das eingepflegt werden kann. Hier ist eine echte Ende-zu-Ende-Verschlüsselung gegeben. Das andere von Cloudflare angebotene Modell erfüllt diese Voraussetzung nicht. Hier wird nur eine scheinbare Ende-zu-Ende-Verschlüsselung produziert, indem nicht mehr direkt der Zielserver angesprochen wird, sondern zunächst der Server von Cloudflare. Dieser wiederum greift auf den eigentlichen Zielserver zu. Hier ist nur die Verbindung zwischen Cloudflare und dem Endnutzer verschlüsselt. Im Übrigen ist die Verbindung nicht gesichert. Dennoch wird die ausgegebene Webseite vom Browser als sichere Verbindung gekennzeichnet wird (in der Regel durch ein grünes Schloss-Symbol in der URL-Zeile). Dies macht es selbst dem versierten, aber nicht gründlich prüfenden Nutzer schwierig eine unsichere Verbindung zu erkennen, was offenbar von den Paypal-Phishern für ihren Angriff ausgenutzt wurde.

http://www.heise.de/security/meldung/Paypal-Phisher-missbrauchen-kostenlose-SSL-Zertifikate-von-Cloudflare-2514585.html