# Zertifikatprüfung in TLS-Verbindungen



## Goldfish (21. Feb 2015)

Hi, ich bin gerade massiv bei einer Kleinigkeit am Straucheln und finde leider keine Infos. 
Bei einer Zertifikatauthentifizierung wird doch in der Regel geprüft, ob der Aussteller des Zertifikats vertrauenswürdig ist, indem geprüft wird, ob der Aussteller eine CA ist. Wie genau wird dieser Punkt geprüft? Einfach über die installierten Zertifikate die bspw. im Browser oder im Windows-Stammzertifizierungsspeicher zu finden sind? Wenn ja, wäre dann ein Man-In-The-Middle Angriff nicht eine fatale Schwachstelle an diesem Punkt, wo der Angreifer selbst über ein von einer CA-signiertem Zertifikat verfügt? Dieser müsste doch nur einen key-Accesspoint unter Kontrolle haben, die Verbindung annehmen und dann gleicherweise diese Anfragen an den eigentlichen Zielort mit einer zweiten Verbindung weiterleiten. Hat dieser dann ein CA-signiertes Zertifikat würde es doch keine Beschwerden von der TLS-Verbindung geben und der Angreifer würde die gesamte Kommunikation lesen und kontrollieren können. Dies ist natürlich ein unwahrscheinliches Szenario, da es ja immerhin nicht so ohne weiteres machbar ist Accesspoints auf diese Art und Weise zu kontrollieren, aber der Gedanke beschäftigt mich doch.


----------



## Goldfish (24. Feb 2015)

Hab die Lösung mehr oder weniger selbst gefunden. Hier was meine Recherche ergeben hat, für die, die es interessiert.

Ich hatte nicht unrecht, es ist möglich, dass ein Angreifer eine TLS-Verbindung mit einem CA-Zertifikat aufbricht, ohne dass der Client dies merkt. Allerdings wäre das kein anonymer Angriff mehr, da der Angreifer, sofern er es nicht geschafft hat, ein solches Zertifikat zu hacken, mit diesem Zertifikat eindeutig identifiziert werden würde, weshalb der Angriff nicht zu empfehlen ist.
Um den Angriff zu bemerken, müssten jedoch regelmäßig die Verbindungslogs geprüft werden und nachgesehen werden, ob ein Server plötzlich ein anderes Zertifikat verwendet hat, als üblicherweise. Kann natürlich auch bei Zertifikatswechsel passieren, wenn das alte abgelaufen ist, weshalb man nicht sofort losschreien sollte. Aber prinzipiell lässt sich das nicht anders feststellen.


----------

