abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Wird meine Kommunikation mit der Consorsbank abgehört?

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015

Gerade ist mir aufgefallen, dass vor der URL der Consorsbank nicht mehr "BNP PARIBAS SA (FR)" im Chrome Browser steht. Bei anderen Banken, die auch ein EV Zertifikat von Symantec einsetzen, steht jedoch sehr wohl immer noch der Bankname aus der "Extended Validation" vor der URL.

 

Wird meine Kommunikation also abgehört?

Ich kann es nicht feststellen.

 

Denn löblicherweise hat die Consorsbank zwar inzwischen ihre Domäne mit DNSSEC abgesichert, jedoch fehlt immer noch der TLSA Eintrag, der es meinem Browser ermöglichen würde zu entscheiden, ob ich es wirklich mit der Consorsbank zu tun habe, oder einem "Man-in-the-middle" Angriff aufgesessen bin.

 

Zudem hat sich die Consorsbank mit Symantec für einen Partner bei der Zertifikatauswahl entschieden, der sich inzwischen als höchst unzuverlässig erwiesen hat, weil er es "Hinz und Kunz" ermöglicht, Zertifikate in seinem Namen und auf beliebige Domains auszustellen, auch auf die Domäne der Consorsbank.

 

Solche Zertifikate werden von Chrome daher in Zukunft als gar nicht mehr als vertrauenswürdig eingestuft werden: https://www.heise.de/newsticker/meldung/Chrome-soll-ab-sofort-Zertifikate-von-Symantec-herabstufen-3...

 

Also: Die Consorsbank muss tätig werden, um Sicherheit wiederherzustellen. Am besten und einfachsten geht das mit einem TLSA DNS Record, dann kann die Consorsbank sogar weiterhin ein unsicheres Zertifkat von Symantec verwenden, weil dann die Consorsbank GENAU DIESES EINE Zertifkat als gültig ausweisen kann.

0 Likes
4 Antworten 4

Regelmäßiger Autor
Beiträge: 142
Registriert: 27.08.2015

Hallo Enrico,

 

danke für den Hinweis. Ich selber war noch nie ein Fan von Symantec....hat sich jetzt auch schön in dem Heise Artikel bestätigt. Ich bin sehr gespannt was CB jetzt unternehmen wird. 

 

 

Mansur

0 Likes

Autorität
Beiträge: 4594
Registriert: 06.02.2015

@Enrico-C, wenn ich das richtig gelesen habe, liegt es am Chrome, dass die EV Information nicht mehr angezeigt wird und hat nichts mit dem Zertifikat zu tun. Anscheinend wird die EV Information bei Webseiten mit einem DNSSEC-Eintrag nicht mehr ausgegeben. In anderen Browsern wird die Info weiterhin angezeigt, auch wenn ein DNSSEC-Eintrag vorhanden ist...

 

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015

@immermalanders

 

Das Problem ist, dass DNSSEC nur halb umgesetzt wurde.

Denn dazu gehört eben auch der TLSA Eintrag, der das Zertifikat identifizieren kann.

 

Dann sind so halbgare "Lösungen" wie EV nämlich überflüssig, die auf die Vertrauenswürdgikeit oder eben nicht vorhandene Vertrauenswürdigkeit von CAs aufbauen.

 

0 Likes

Moderator
Beiträge: 66
Registriert: 04.07.2016

Hallo @Enrico-C,

vielen Dank, dass Sie Ihre Bedenken mit uns teilen.

Die zuständigen Kollegen sind diesbezüglich bereits mit der BNP Paribas in Kontakt, um das weitere Vorgehen abzustimmen. Folgende Informationen dazu erhielten die Community Moderatoren:

Der Hintergrund ist eine Auseinandersetzung zwischen Symantec und Google mit unterschiedlichen Ansichten zu Mindestsicherheitsstandards in der Verwaltung von SSL-Zertifikaten. Hier hat Google nun drastische Massnahmen ergriffen und per sofort alle sogenannten EV (= Extended Validation) Zertifikate, die von Symantec ausgestellt wurden, im Chrome nicht mehr durch den grünen Firmennamen in der Adresszeile als besonders sicher zu kennzeichnen.

Dies betrifft den aktuellen Google-Chrome-Browser. Symantec ist einer der führenden Ausgabestellen für SSL-Zertifikate. Daher ist nicht nur die Consorsbank davon betroffen. Insbesondere Finanzdienstleister verwenden diese EV-Zertifikate von Symantec.

Wir wünschen Ihnen eine schöne Woche.

CB_Heike
Community Moderatorin

Antworten