08

Heute flatterte hier eine Mail rein mit folgendem Inhalt.

[D]er zugang [...] ist aus Sicherheitsgründen nur noch verschlüsselt über ssl [...] möglich.

Ich bin natürlich betroffen also kurz openssl anwerfen um etwas zu sehen bekommen was mir überhaupt nicht gefällt.

depth=0 /.../CN=informatik.uni-tuebingen.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /.../CN=informatik.uni-tuebingen.de
verify error:num=21:unable to verify the first certificate
verify return:1

Er kann also zwei Sachen nicht prüfen,

• das Zertifikat und
• den Hostnamen.

Das nächste was openssl auspuckt macht alles klar.

Certificate chain
0 s:/.../CN=informatik.uni-tuebingen.de
  i:/.../CN=informatik.uni-tuebingen.de

Subject und Issuer sind identisch, also ist das Zertifikat wohl Selbstsigniert.

Man sieht einmal mehr das immer noch zuviele nicht verstanden haben, wann TLS/SSL überhaupt Sicherheit bringt. In dieser Form bringt es nur eines, nachträglich kann niemand nachschauen was an Daten geflossen ist, mehr aber auch nicht.

Liebe Admins, wenn ihr schon Sicherheitsgründe anbringt um TLS durchzudrücken, dann macht es bitte richtig. Das Zertifikat muss auf irgendeinen Weg nachprüfbar sein und der Hostname sollte stimmen.