Forum: PC Hard- und Software eBay - SSL kaputt


eBay - SSL kaputt
von schischip (Gast)

Lesenswert? 

Hallo Allerseits,

nach drei Jahren Abstinenz habe ich mich wieder einmal bei eBay 
eingeloggt.
Dabei fiel mir auf, dass zwar das Anmelden verschlüsselt erfolgt 
(https://signin.ebay.at/ws/eBayISAPI.dll?SignIn), alle anderen Aktionen 
inkl. der Verwaltung von Benutzereinstellungen aber wieder auf http 
zurückfallen.

Als ich dann die Hauptseite mit https://www.ebay.at/ bzw. ebay.de 
aufrief gab es ein fehlerhaftes Zertifikat. IE verweigert und FF meldet:
1
Das Zertifikat gilt nur für folgende Namen:

2
*.akamaihd.net , *.akamaihd-staging.net , a248.e.akamai.net ,

3
*.akamaized.net , *.akamaized-staging.net

4
(Fehlercode: ssl_error_bad_cert_domain)

Die IP 2.20.182.19 ist lt. RIPE Akamai Technologies zugeordnet, was als 
CDN-Anbieter durchaus plausibel erscheint, aber eben von vielen anderen 
auch genutzt werden könnte.

Bei Eingabe von z.B. 
https://pages.ebay.de/help/account/registration-problems.html wird 
automatisch auf http://... umgeleitet.

Ist es bei diesem Verein normal, dass es keine durchgängig 
verschlüsselte Übertragung gibt, oder habe nur ich ein Problem?

Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: eBay - SSL kaputt
von Jim M. (turboj)

Lesenswert? 

Könnte eine Fehlkonfiguration bei Akamai sein (DNS zeigt auf nicht 
korrekt konfigurierten Server). Dann einfach 15 Minuten warten.

Könnte aber auch lokale Ursachen haben: Wenn Deine Browser kein 
korrektes SNI (SSL Server Name Indication) machen. SNI ist bei allen 
aktuellen Browsern per default an, aber irgendwelche SSL-brechenden 
"Security Tools" können dazwischenfunken.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: eBay - SSL kaputt
von schischip (Gast)

Lesenswert? 

Jim Meba schrieb:
> Könnte eine Fehlkonfiguration bei Akamai sein (DNS zeigt auf nicht
> korrekt konfigurierten Server). Dann einfach 15 Minuten warten.
Wenn es eine Fehlkonfiguration sein sollte, dauert die nun schon 
deutlich länger als ein paar Minuten.

https://www.ssllabs.com/ssltest/analyze.html?d=ebay.at zeigt ein 
ähnliches Bild mit Zertifikatsfehlern an allen vier aufgelösten IPs.

> Könnte aber auch lokale Ursachen haben: Wenn Deine Browser kein
> korrektes SNI (SSL Server Name Indication) machen.
Ich habe zwar im Firefox u.a. einige als unsicher erkannte 
Verschlüsselungsalgorithmen abgedreht, an SNI aber nichts verändert - 
falls das überhaupt geht.
Auch ein Test mit https://sni.velox.ch/ funktioniert:
1
... sent the following TLS server name indication extension (RFC 6066)

2
in its ClientHello (negotiated protocol:

3
TLSv1.2, cipher suite: ECDHE-RSA-AES128-SHA)


> "Security Tools" können dazwischenfunken.
Eher nicht, da ich davon auch nicht besonders viel halte.

Ich würde mich freuen - naja, zumindest würde es mich beruhigen - wenn 
noch jemand bestätigen könnte, dass "die" ein Problem haben.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: eBay - SSL kaputt
von Teo D. (teoderix)

Lesenswert? 

schischip schrieb:
> Ich würde mich freuen - naja, zumindest würde es mich beruhigen - wenn
> noch jemand bestätigen könnte, dass "die" ein Problem haben.

Kann zwar nicht bestätigen, das die ein Problem haben.
Bei mir allerdings, das selbe Verhalten der Seiten.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: eBay - SSL kaputt
von Alexander S. (esko) Benutzerseite

Lesenswert? 

Leider ist eBay unfähig httpS zu implementieren. Auch sonst sind sie 
sicherheitstechnisch nicht auf der Höhe der Zeit.

http://heise.de/-2195974
> Unbekannte haben einen großen Teil der Kundendatenbank der Online-
> Handelsplattform kopiert. Während der Druck auf eBay steigt, gibt es
> erste Hinweise, dass die gestohlenen Daten schon missbraucht werden.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: eBay - SSL kaputt
von schischip (Gast)

Lesenswert? 

Danke für die Rückmeldungen.

Ich kann mich noch dunkel an ein solches Verhalten (nur Anmeldung und 
Bezahlung per SSL) erinnern, meinte aber das auch die Profilverwaltung 
gesichert war. Die ungültigen Zertifikate haben mich dann endgültig 
irritiert.
Es kann aber auch sein, dass sich damals nicht einmal ein Server unter 
https meldete - es sind also Fortschritte zu erkennen ;)

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.