Zertifikat-Nicht-Gesendet/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung der Zertifikatsübermittlung

Check Server sendet kein Zertifikat
Beschreibung Der Server hat kein Zertifikat gesendet. Dies ist ungewöhnlich und sollte eigentlich nicht vorkommen. Der Server sollte seine TLS-Konfiguration überprüfen und ggfs. anonyme Ciphersuites ausschalten.
Hintergrund Es ist theoretisch möglich einen TLS-Server so zu konfigurieren, dass er kein Zertifikat sendet, um sich auszuweisen und lediglich verschlüsselt ohne seinen öffentlichen Schlüssel zu signieren. Ein Client der sich mit dem Server verbinden möchte, kann dann nicht überprüfen, ob er wirklich mit dem Server redet den er erwartet. Diese Art der Konfiguration ist äußerst selten.
Auswirkung Ohne Zertifikat für Ihre Webseiten können Angreifer Ihre Kommunikation belauschen. Kriminelle könnten so anonym persönliche Daten Ihrer Kunden wie z.B. Passwörter oder auch Kreditkarten-Informationen abgreifen. Eine weiteres Risiko droht, wenn Kriminelle auf Ihrer Webseite Viren oder Trojaner installieren. In so einem Fall könnten Sie möglicherweise für einen Schaden beim Besucher haften. Außerdem können Kriminelle z.B. "legitime" Duplikate Ihrer Webseite erstellen. Auf diesen gefälschten "Phishing"-Seiten-Seiten lassen sich dann persönliche Daten wie Passwörter oder auch Kreditkarten-Informationen abgreifen, während der Kunde glaubt, auf einer legitimen Unternehmenswebseite zu sein.
Lösung / Tipps Aktualisieren Sie dringend die von Ihnen eingesetzte TLS-Implementierung. Moderne Software erlaubt diese Art der Konfiguration nicht mehr.