Falls ihr es schon schlimm fandet, dass Diginotar auf ganzer Linie versagt hat, sodass Zertifikate für google.com und weitere Seiten ausgestellt wurden, solltet ihr euch jetzt lieber setzen. Denn es wird heftig! Während es sich beim ersten Fall nur um kompromittierte Zertifikate handelt, ist nun ein Angriff auf das Protokoll TLS 1.0 vorgestellt worden.
Wie theregister.co.uk berichtet, haben die Forscher Thai Duong und Juliano Rizzo auf der Security-Konferenz ekoparty einen Angriff auf TLS 1.0 vorgestellt. Bei diesem Angriff handelt es sich um eine Chosen-Plaintext Attacke, welche bisher für TLS 1.0 nur als theoretischer Angriff galt. Es ist somit möglich die Inhalte von HTTPS-Aufrufen zu entschlüsseln und zu manipulieren. Die beiden Forscher stellten gleichzeitig ein Proof-of-concept namens BEAST vor: diese Software greift einen bekannten Online-Bezahldienst an, indem das Session-Cookie ausgelesen wird. Dieser Vorgang dauert laut eigenen Angaben 10 Minuten.
Zwar gibt es mit TLS 1.1 und TLS 1.2 bereits zwei Nachfolge-Spezifikationen, die für den vorgestellten Angriff nicht anfällig sind. Diese finden im Internet jedoch kaum Anwendung. Auf der Browser-Seite unterstützt nur Opera die TLS 1.2 Spezifikation. Würde man nun versuchen die gesamte Kommunikation auf TLS 1.1 oder 1.2 umzuschalten, gäbe es viele Seiten, die nicht mehr funktionieren, da die neueren TLS-Spezifikationen nicht komplett abwärts kompatibel sind.
Korrektur: Was den Zeitpunkt angeht habe ich mich vertan. Die Konferenz und somit auch die Demonstration von BEAST erfolgt erst später diese Woche.