Es gibt Dinge, z.B. bei Zugangs- oder personenbezogenen Daten, bei denen es Sinn macht bzw. meiner Meinung nach erforderlich ist, Daten verschlüsselt zu übertragen. In der heutigen Zeit ist das eigentlich kein Problem: SSL Zertifikate kann man sich selbst erstellen oder, wenn diese valide sein sollen, günstig erwerben, alternativ auch einfach irgendeines nutzen was nicht zur Domain passt und die Warnung des Browsers wegen Invalidität einfach weg klicken. IP-Knappheit ist dank Wildcard- und Multi-Domain-Zertifikat oder Server Name Indication nicht wirklich ein Problem – letzteres zumindest dann nicht, wenn man keine uralte und an sich grauenhafte Software (Windows XP mit Internet Explorer 8 o. dgl.) nutzt.
Es gibt nun aber auch Firmen (ich möchte nun keine Namen wie 1st Antagus Internet GmbH Vautron Rechenzentrum AG erwähnen) die es, trotz das Sie für die Domain ein Wildcard-Zertifikat haben mit dem Sie alle Subdomains sogar valide schützen könnten, nicht schaffen dieses auch an stellen zu verwenden, wo es angebracht wäre.
Auf der Suche nach einer Lösung zu einem Fehler, den ich mangels möglicher API-Freischaltung für einen Account bei der Bedienung eines Domainrobots per cURL erhielt, bin ich auf admin.antagus.de gestoßen. Offensichtlich handelt es sich dabei um die Administrationsoberfläche für den Domainrobot von Antagus, also der Vautron Rechenzentrum AG.
Bei der Betrachtung dieses Interfaces im Browser fiel mir irgendwann auf, dass das ganze irgendwie ohne SSL Schutz aufgerufen wurde, wobei ich bei so einem Interface schon voraussetze das man direkt auf SSL weitergeleitet wird.. Aus neugier rief ich https://admin.antagus.de auf und … erhielt die Fehlermeldung aus dem Bild über dem hiesigen Text. Kurzum: Das Interface ist mit SSL gar nicht erreichbar, obgleich, davon jedenfalls kann man ausgehen, Schutzwürdige Daten (bspw. Zugangsdaten) übertragen werden. Gerade in Zeiten von Abhörskandalen ein absolutes No-Go.
Jenes Unternehmen, das übrigens selbst SSL Zertifikate anbietet, hat es wohl schlicht versäumt oder sogar fahrlässig unterlassen, SSL Schutz zu implementieren, obgleich man sogar ein valides und gültiges Zertifikat hat:
Wie man eine eigene CA erstellt, um (für den normalen Besucher einer Webseite) invalide Zertifikate auszustellen, weiß man aber wohl – denn unter https://antagus.de findet man ein von der “Vautron CA” ausgestelltes Zertifikat, allerdings für domains.flatbooster.net:
# openssl s_client -connect antagus.de:443
CONNECTED(00000003)
depth=0 CN = domains.flatbooster.net, O = Vautron AG, OU = Hosts
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = domains.flatbooster.net, O = Vautron AG, OU = Hosts
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = domains.flatbooster.net, O = Vautron AG, OU = Hosts
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=domains.flatbooster.net/O=Vautron AG/OU=Hosts
i:/C=DE/ST=Bavaria/L=Regensburg/O=Vautron AG/OU=Certificate Authority/CN=Vautron CA/emailAddress=ca@vautron.de
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=domains.flatbooster.net/O=Vautron AG/OU=Hosts
issuer=/C=DE/ST=Bavaria/L=Regensburg/O=Vautron AG/OU=Certificate Authority/CN=Vautron CA/emailAddress=ca@vautron.de
---
No client certificate CA names sent
---
SSL handshake has read 2023 bytes and written 439 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 7997D92A8E11CD991A0ACC51E455C28B7C9D1B5ABAFDDC2A42E9A2EC7AB1E081
Session-ID-ctx:
Master-Key: 0483AFD595C103FA8AA1998F91BA96136C3EF6A6708953A3872B3FDA3119D7C61F6BF088E5FE32E5D701A9995A690D3C
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 0d b4 e0 8a ca a9 05 db-bd bd d7 d2 f0 8b 26 50 ..............&P
0010 - 39 50 a7 35 f3 8f 0c e3-94 b8 e4 74 47 8e b6 fd 9P.5.......tG...
0020 - 23 98 7c ba 1b bf 5f 11-f8 a1 10 3e 59 4e 7f db #.|..._....>YN..
0030 - 02 02 49 e1 8a 2c 25 d0-f1 40 2a 07 93 20 36 88 ..I..,%..@*.. 6.
0040 - 5f cb 6e b0 b2 3a a7 9c-08 0f 5a e5 00 7c 78 46 _.n..:....Z..|xF
0050 - 14 42 8d dd 24 5f a4 62-a8 b7 74 32 12 9e 6f 10 .B..$_.b..t2..o.
0060 - 42 f9 5e f8 98 48 e8 2c-20 3d 17 be 89 d4 39 51 B.^..H., =....9Q
0070 - bd d0 f8 e5 6d 0c 96 ea-1c 5c 5a 7b 70 4c ed a5 ....m....\Z{pL..
0080 - f3 02 65 b5 eb 85 f7 5d-e3 42 8b 13 b4 62 7a 40 ..e....].B...bz@
0090 - a9 5b b9 4c 88 ac 57 b2-3d 0f e0 cb 0f c6 a0 ce .[.L..W.=.......
00a0 - 6f d0 80 90 ec 44 77 30-28 29 34 2a 8d 48 f0 e9 o....Dw0()4*.H..
00b0 - 80 85 e1 d3 b4 ce c9 35-08 83 84 91 3d 77 04 4a .......5....=w.J
Start Time: 1388644426
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)Was wohl die vermeintliche Rechtsabteilung dieser mysteriösen Gesellschaft, namentlich Vautron Rechenzentum AG, sagen würde, wenn wegen diesem Umgang mit dem Datenschutz irgendwann mal Daten abhanden kommen würden? Jeder mag sich, insb. wenn man den Laden oder eine andere Firma aus dem Graf Hardenberg’schen Firmengeflecht kennt, seine eigene Meinung bilden …