Test auf das beA Rootzertifikat

Die Bundesanwaltskammer hat ihre Mitglieder aufgefordert, ein Rootzertifikat für das besondere elektronische Anwaltspostfach (beA) zu installieren. Der private Schlüssel dazu ist Teil der Software, damit erlaubt dies Angriffe auf verschlüsselte HTTPS-Verbindungen.

Kein beA-Zertifikat gefunden, Sie sind nicht verwundbar.

Ihr Browser erlaubt Verbindungen, die mit dem beA-Rootzertifikat signiert sind.
Sie sind verwundbar.

Ihr Browser erlaubt Verbindungen mit beliebigen Zertifikaten.
Das ist eine gravierende Sicherheitslücke. Vermutlich nutzen Sie eine fehlerhafte TLS-"Inspection"-Software.

Hintergrund

Die Hintergründe habe ich in einem Artikel auf Golem.de erläutert:

beA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Dieser Test wird bereitgestellt von Hanno Böck.