Fragen? Antworten! Siehe auch: Alternativlos
Das ergibt natürlich interessante Angriffsszenarien für so Freemailer-Domains wie gmx.net oder live.fi, wo man sich im Internet eine Mailadresse klicken kann. Wenn die TLS-Leute eine Admin-Adresse erlauben, die der Freemailer nicht reserviert hat, dann kann man sich so ein Zertifikat klicken.
Eine dieser historischen Admin-Adressen ist hostmaster@.
Ein erlebnisorientierter Jugendlicher hat sich mal hostmaster@live.fi geklickt und dann damit ein TLS-Zert von dem Taco Bell unter den TLS-Anbietern geklickt: Comodo. Comodo hat ihm das ausgestellt. Warum auch nicht, da sitzt ja kein Mensch und prüft. Das ist ein Perl-Skript. Woher soll das Perl-Skript wissen, dass live.fi reserviert ist?
Und hier wird die Story interessant. Der Mann hat das nämlich Microsoft gemeldet, und die haben ihn ignoriert und 4-6 Wochen lang das Problem ausgesessen.
Dann haben sie dem Mann den Microsoft-Account gesperrt, was das Mail-Konto, das Xbox-Konto und das Lumia-Handy mit einschloss.
Ausgesprochen unsportlich, Microsoft!
Update: Oh, ist sogar noch unsportlicher! Es gibt eine Richtlinie, wie CAs die Domains zu validieren haben. An denen hat Microsoft mitgearbeitet. So und jetzt guckt euch mal auf Seite 24 (17 nach Dokumenten-Zählung) Punkt 4 unter 11.1.1 an. Microsoft hat also den Standard mitgeschrieben, an den sich Comodo gehalten hat.
Update: Der Depp hatte die Domain anscheinend mit seinem live-Account verknüpft, also haben die den Live-Account zugemacht. Das klingt ja wiederum eher nach "User nicht schlau"-Fehler. Man kann natürlich immer noch die Frage stellen, wieso das sechs Wochen gedauert hat. Und ob sie da nicht mal hätten gucken können, ob man da weniger invasiv hätte vorgehen können.
Update: Oh das wird ja immer schöner. Die hatten das selbe Problem auch bei der belgischen Domain und da geht das sogar bis 2010 zurück. Und sie haben nichts daraus gelernt.