Du verhältst dich wie ...!

Die meisten Leute, mit denen ich beruflich und privat zu tun habe, sind erwachsene Menschen.
Sie dürfen Alkohol kaufen und trinken, Auto fahren und R-rated Filme im Kino schauen. Sie haben die Möglichkeit wählen zu gehen und sie können Verträge abschließen.

Über Kreisläufe

Stelle dir folgende Situation vor:
Dein Kollege kommt mal wieder zu spät zum Meeting mit dem Kunden. Zudem ist er - wie üblich - mittelmäßig vorbereitet. Zum Glück warst du überpünktlich und hast gestern noch die Präsentation perfektioniert, so dass der Kunde auf jeden Fall zufrieden sein wird. Nach dem Termin stellst du deinen Kollegen zur Rede, er hört sich dein Lamento genervt an, was dich verärgert, aber was kannst du denn noch tun? Aus deiner Sicht wird es beim nächsten Mal genauso laufen, weil du eben die Ordentliche bist und er halt der Chaot ist und immer bleiben wird.

In the first blogpost of this series, I’ve shown you how easy it is for an attacker to eavesdrop the SSL/TLS connection between you and your client. This is not a theoretical issue and happens to customers every day. Even strong ciphers and encryption settings don’t help. Why? The problem is trust: If your client trusts any server, it doesn’t matter which cyphers your server is using.

This post is the second in the “Your HTTPS Setup is Broken”-series. Previously, I’ve described how easy it is for an attacker to eavesdrop on your “secure” communication. In this post I’ll show you how to enforce encrypted communication, so an attacker cannot downgrade the connection to unencrypted HTTP.

Your HTTPS setup is broken!

So, you use HTTPS to encrypt communication with your customers. Maybe you use the latest encryption ciphers and algorithms. But you may still have a very big issue in your setup. In this first blog post about HTTPS security, I’ll show that trust is at least important as encryption while securing communication. Furthermore, I’ll show how untrustworthy the current Certificate Authority infrastructure is.