Die SSL-Sicherheits Lüge

Im Internet!

Hallo aus Uruguay,

SSL – Verschlüsselung im Internet! – Eine Lüge!

Unsicheres https

Unsicheres https

Vor nicht allzu lange Zeit, befahl Google allen Webseitenbetreiben die Installation von so genannten SSL Zertifikaten um Seiten angeblich sicher zu machen. Sicher um die Kommunikation zwischen Browser und Server zu verschlüsseln, damit diese nicht ausgelesen werden kann.

Selbst Webseiten wie diese hier sollen nach Ansicht von Google verschlüsselt werden.

Was man aber nicht erzählt und was kaum jemanden auffällt, vielleicht aber interessiert es sie nicht, ist die Tatsache, dass man allen Anbietern von kostenlosen SSL-Zertifikaten das Licht ausgeknipst hat. Ihnen wurde ganz einfach von den Browser Herstellern zu denen Google mit seinem Chrome  ja auch gehört das Vertrauen entzogen und sie somit auf die Liste der unsicheren Zertifikaten gesetzt. Selbst der größte aller Anbieter Start TLS, der sich bis zu letzt halten konnte wurde nun auch noch eliminiert.

Man soll jetzt nicht sagen, dass es keinen Ersatz dafür gäbe.

Doch doch. ein neuer Anbieter ist vom Himmel gefallen und bietet für jeden kostenlose Sicherheitszertifikate an. Es ist: lets encrypt

Jetzt wird mancher denken was will ich eigentlich?

Dieses Lets encrypt ist sozusagen der Wolf im Schaafspelz!

Zum Einen ist es nur noch der einzige Anbieter auf dem Markt – ein Monopolist!

Zum Anderen ist die Sicherheitstechnologie dieses Anbieters so ausgelegt, das er an alle eingegebenen Daten kommt und somit jede der, bei ihm registrierten, Webseiten auslesen kann.

Verschlüsselung basiert auf 2 verschiedenen Schlüsseln. Einem öffentlichen und einem privaten.

Der private Schlüssel wird normalerweise beim Betreiber der Webseite gespeichert. Der Öffentliche ist frei zugänglich was der Name öffentlich schon aussagt.

Die zwei Schlüssel der Verschlüsselung

Die zwei Schlüssel der Verschlüsselung

Wenn nun ein Anbieter einer Verschlüsselung beide Schlüssel bei sich selbst speichert, wo bitte ist dann die Sicherheit?

Und genau dieses macht lets encrypt.

Diese Firma vertreibt also kostenlose Sicherheitszertifikate und behält beide Schlüssel um somit den Zugang zu den Vertraulichen Daten zu erhalten. 

Wie schön kann man damit dann die Passwörter auslesen welche ja teilweise im Klartext übertragen werden.

Somit kann man die Kontrolle über das weltweite Internet erlangen. Seiten die mit lets encrypt verschlüsselt sind bieten als nur einen löchrigen Schutz. Wer auffällt und Inhalte verbreitet welche gegen das System gerichtet sind, kann auf diese Art und Weise ganz schnell Mundtot gemacht werden.

Und hier arbeitet nun wieder der große Moloch google mit seinen Anweisungen an die Webseitenbetreiber Hand in Hand mit lets encrypt zusammen in dem man:

  • 1. Jedem sagt er muss verschlüsseln
  • 2. Alle anderen Anbieter diskreditiert
  • 3. Nur noch einen Anbieter forciert
  • 4. Das Suchmaschinen Ranking so einstellt, das nicht verschlüsselte Seiten entweder gar nicht gelistet oder abgewertet werden.

Das sind Mafia Methoden eines kranken Systems.

Wenn man sich den Herausgeber von lets encrypt, die Internet Security Research Group, anschaut und liest wer da alles vertreten ist, dann ist das wie das Who is Who im Internet!

Our current board members are:

  • Josh Aas (ISRG) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • J. Alex Halderman (University of Michigan)
  • Jennifer Granick (ACLU)
  • Laura Thomson (Mozilla)
  • Richard Barnes (Cisco)
  • Peter Eckersley (EFF)
  • Alex Polvi (CoreOS)
  • Pascal Jaillon (OVH)

Technical Advisory Board (TAB)

Our TAB consists of technical experts from major supporting organizations, as well as independent experts with strong CA/PKI industry experience.

  • Rich Salz (Akamai)
  • Joe Hildebrand (Independent)
  • Jacob Hoffman-Andrews (Electronic Frontier Foundation)
  • J.C. Jones (Mozilla)
  • Russ Housley (Independent)
  • Ryan Hurst (Google)
  • Stephen Kent (Independent)
  • Karen O’Donoghue (Internet Society)
  • Ivan Ristic (Independent)

Alle schön beieinander! Das ganze Internetkartell.

Da haben kleine Anbieter wie z. B Nexusnet keine Chance mitzuspielen.

Was ist also zu empfehlen?

Wer keinen Wert auf seine Daten legt, der kann sich Zertifikate von lets encrypt installieren! Der läuft aber Gefahr alles zu verlieren.

Lets Encrypt ist total unsicher!

Lets Encrypt ist total unsicher!

Die Anderen, sollten sich überlegen was ihnen wichtiger ist.

Die Sicherheit oder das Google Ranking!

Meine Webseiten werden auf keinen Fall mit diesem unsicheren Sicherheitszertifikat ausgestattet. ich lege keinen Wert auf Google und sein komisches Ranking.

Hier werden Wege gegangen die man nicht mitgehen sollte.

Google als Vorreiter gehört sowieso eliminiert!

Leider ist dieser Moloch schon so groß, dass er fast alles kontrolliert und schon alleine deshalb müsste Google zerschlagen werden.

Also liebe Webseitenbetreiber und Kollegen, Augen auf und pfeift auf eine unsichere Verschlüsselung, nur so bleibt unser Internet unser Internet.

Anzumerken ist, dass es natürlich auch kommerzielle Zertifikate für jede einzelne Domain zu kaufen gibt, die Preise reichen von ca. 100,–€ bis in den 4 stelligen Eurobereich. Dies ist natürlich für Menschen welche mit Webseiten kein Geld verdienen und nur informieren wollen unbezahlbar. Dazu kommt, dass davon auszugehen ist, dass die Preise demnächst angehoben werden um eben die Menschen zu lets encrypt zu treiben.

Liebe Grüße aus Uruguay

Peter

Bitte teilen! :)
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Kommentare

Kommentare