Zertifikat-Nicht-Gesendet/DE: Unterschied zwischen den Versionen
| Zeile 14: | Zeile 14: | ||
| − | [[Category:Siwecos-Scanner | + | [[Category:Siwecos-Scanner]] |
{{:{{PAGENAME}}/Category}} | {{:{{PAGENAME}}/Category}} | ||
Version vom 22. März 2019, 15:09 Uhr
Überprüfung der Zertifikatsübermittlung
| Check | Server sendet kein Zertifikat |
| Beschreibung | Der Server hat kein Zertifikat gesendet. Dies ist ungewöhnlich und sollte nicht vorkommen. Der Server sollte seine TLS-Konfiguration überprüfen und ggfs. anonyme Cipher Suites ausschalten. |
| Hintergrund | Es ist theoretisch möglich einen TLS-Server so zu konfigurieren, dass er kein Zertifikat sendet, um sich auszuweisen und lediglich verschlüsselt ohne seinen öffentlichen Schlüssel zu signieren. Ein Client der sich mit dem Server verbinden möchte, kann dann nicht überprüfen, ob er wirklich mit dem Server redet den er erwartet. Diese Art der Konfiguration ist äußerst selten. |
| Auswirkung | Ohne Zertifikat für Ihre Webseiten können Angreifer Ihre Kommunikation belauschen. Kriminelle könnten so anonym persönliche Daten Ihrer Kunden wie z. B. Passwörter oder auch Kreditkarten-Informationen abgreifen. |
| Lösung/Tipps | Wenn Server sendet kein Zertifikat gemeldet wurde, aktualisieren Sie dringend die von Ihnen eingesetzte TLS-Implementierung. Moderne Software erlaubt diese Art der Konfiguration nicht mehr. |
