Moin!

Inwiefern ist das "kein Thema"? Kannst Du/man ein solches Zertifikat fälschen?

Wenn ich legaler Inhaber der Domain "bösedinge.tld" bin (beachte den Umlaut), dann kann ich legal für diese Domain ein SSL-Zertifikat erwerben. Und damit kann ich dann Benutzer der Domain "boesedinge.tld" (ohne Umlaut) zu mir locken und sie in den Glauben versetzen, sie wären bei der richtigen Domain. Wobei der Umlaut jetzt nicht unbedingt für die zuletzt bekannt gewordenen Unicode-Domainnamen-Angriffe stehen muß, es reicht ja, dass man nicht so genau hinguckt, wenn man einen Link klickt, die Domain kann ansonsten "relativ auffällig" auch ganz anders heißen.

Ansonsten, wenn Du legal an ein solches Zertifikat kommen willst, musst Du Dich legitimieren, bist also auffindbar.

Ich bin alleine dadurch "auffindbar", dass ich eine Domain habe. Wie toll man damit aber wirklich auffindbar ist, beweisen die diversen Spammer ja immer wieder, denen man das Handwerk nicht legen kann. Dasselbe dürfte für SSL-Zertifikate auch gelten - je nach Sicherheitsstufe.

Es reicht für die böse Domain die niedrigste noch im Browser bekannte Sicherheitsstufe aus, die der SSL-Signateur anbietet, so dass der Benutzer keine blöde Warnmeldung kriegt, wenn er eine SSL-Verbindung erwartet.

• Sven Rautenberg