Unterschiedliche Zertifikate bei "https://secure.gog.com" vs. "https://www.gog.com"



  • Auf "https://secure.gog.com" wird man weitergeleitet, wenn man http://www.gog.com aufruft und dort auf Login klickt.
    Es wird dann auch ein Zertifikat angezeigt.

    Aber das Zertifikat ist ein komplett anderes als das,
    welches welches akzeptiert werden möchte, wenn man gleich
    https://www.gog.com im Browser eingibt.

    Wieso verwendet gog.com für eine sichere HTTPS Verbindung vollkommen unterschiedliche Zertifikate?

    Das Zertifikat welches nach Eingabe von https://www.gog.com akzeptiert werden möchte, da es der Browser nicht kennt und mangels root Zertifikat nicht verifizieren kann, gibt zwar von sich aus an, von akamai.net zu sein, was ein großer bekannter CND ist, aber da dies selbst mit keinem root Zertifikat verifiziert werden kann, könnte ein Hacker auch einfach akami.net unterschieben.

    Irgendwie ist das schon ein sehr fauler Fisch, wie bei GOG.com mit der Sicherheit der Kreditkartendaten der User umgegangen wird.


Log in to reply