Moin!

nein, der Knackpunkt ist ein anderer, als du meinst. Angenommen, ich möchte mich bei meiner Bank einloggen. Dann rufe ich http://onlinebank.example/ im Browser auf, in der wohltuenden Gewissheit, dass die Anmeldenamen und Passwörter ja dank Auth-Digest verschlüsselt übertragen werden.
Aber wie kann ich sicher sein, dass der Server am anderen Ende der Verbindung auch wirklich der von meiner Bank ist? Vielleicht hat jemand die Seite täuschend echt nachgebaut und das DNS infiltriert? Oder vielleicht greift unterwegs jemand die Verbindung ab und leitet sie woanders hin um? Vielleicht hat jemand den Proxy gehackt, den ich benutze?

Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.

Du übersiehst dabei allerdings einen wichtigen Punkt: Der "Bankserver" braucht nur ein Zertifikat vorzuweisen, welches von einer der im Browser installierten Zertifikatsstellen unterschrieben wurde.

Und so eine Unterschrift ist offenbar relativ leicht auch illegal zu erlangen. Entweder präsentiert jemand gefälschte Authentizitätsbelege bei der Beantragung des Zertifikats, oder er hackt sich rein und stellt es sich selbst aus, so wie zuletzt bei Diginotar geschehen.

Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut. Die könnten alle ein gültiges Zertifikat für deine Bank ausstellen. Oder für deinen Mailprovider.

- Sven Rautenberg