Wie ich schon in meinem Blogeintrag über den Prism Skandal geschrieben habe halten Sicherheitsforscher das SSL System inzwischen für total kaputt. Das ist zum einen darauf zurückzuführen das es in der Vergangenheit massive Sicherheitsprobleme bei einigen Certificate Authorities gab und zum anderen darauf das das SSL System auf Vertrauen basiert.
Wie ich damals schon ausführte kann man amerikanischen Unternehmen aufgrund der lokalen Gesetzgebung jedoch nicht vertrauen.
Das diese Gefahr real existiert kann man zur Zeit in einem Artikel bei CNet nachlesen in dem sehr schön beschrieben wird wie staatliche Stellen der USA versuchen, vorallem kleinere Firmen gezielt zu erpressen, um an SSL Masterkeys zu gelangen. Dieses Vorgehen des FBI und der NSA ist selbst in den USA illegal, die Frage ist halt wie weit sich das Gesetz im „Kampf gegen den Terror“ strecken lässt.
Dies zeigt mal wieder wie kaputt das System „SSL“ ist. Leider gibt es zur Zeit keine praktikable Alternative. Selbst wenn es ein alternatives System gäbe dann müsste es unabhängig von US Amerikanischen Firmen arbeiten. Da jedoch die Triebfedern der Internet Industrie in den USA sitzen, glaube ich das uns das defekte System „SSL“ noch eine ganze Zeit erhalten bleibt.
Ein Gedanke zu „SSL ist kaputt und es gibt keine Alternative!“