Betreff: Sicherheit der Consorsbank Website

Enrico-C · 08.02.2015

Hallo,

mein Browser zeigt an, dass die Website www.consorsbank.de unsicher wäre, weil sie weder durch DNSSEC abgesichert ist, noch einen TLSA Eintrag besitzt, der für DANE nötig ist.

Legt denn die Consorsbank keinen Wert darauf, die Website entsprechend aktueller Technik abzusichern?

Vor einigen Monaten wurde bekannt, dass Symantec, der Lieferant des Sicherheitszertifikats der Consorsbank Website, Zertifikate für Zwischenzertifizierungsstellen an Unbekannte herausgegeben hat, die es diesen Unbekannten ermöglichen, für jede Domäne gültige Zertifikate auszustellen. Auch solche mit Extendes Validation, welche die Consorsbank einsetzt.

Ich kann mir also bei der Anmeldung auf der Website nie sicher sein, ob mir irgend jemand anderes eine gefälschte Website präsentiert und versucht, mein Geld zu stehlen.

Das ist kein befriedigender Zustand für die Website einer Bank, finde ich.

Wann wird das verbessert?

immermalanders · 06.02.2015

Hallo @Enrico-C,

wird denn bei einer anderen deutschen Bank das, inzwischen 20 Jahre alt Protokoll, DNSSEC genutzt? Auf wie vielen Seiten wird das überhaupt eingesetzt? Da bei einer DNSSEC-Anfrage die Daten unverschlüsselt übertragen werden, ist das wirklich so gut?

Grüße

immermalanders

Enrico-C · 08.02.2015

Umwissen oder Halbwissen ist kein guter Ratgeber beim Thema Sicherheit.

Das 2005 definierte und seit 2011 für .de Domains verfügbare DNSSEC Protokoll wird selbstverständlich von deutschen Banken benutzt.

Da offenbar ein wenig Nachhilfe notwendig ist: DNSSEC dient NICHT dazu, DNS Anfragen zu verschlüsseln. Das passiert genauos wenig wie beim normalen DNS. Es dient aber dazu, die INTEGRITÄT der gelieferten DNS Informationen zu sichern.

Jeder, der den weit verbreiteten Google DNS Dienst nutzt, nutzt implizit auch DNSSEC, weil Google DNS die DNSSEC Informationen prüft.

Eigentlich kann ich mir nur einen Grund vorstellen, DNSSEC nicht zu nutzen: wenn einem die Sicherheit seiner Kunden egal ist.