Die Polizei des Landes Sachsen-Anhalt hat eine eigene Webseite. Um besorgten Bürgern die Möglichkeit einer Anzeige zu geben ohne das diese sofort in die nächste Dienststelle laufen müssen, gibt es das eRevier. Nun möchte man natürlich nicht, das jeder Hinz und Kunz die übermittelte Anzeige mitliest: daher wird die Seite mittels https ausgeliefert. So weit, so gut.
Schade nur, das sich die Polizei bzw. die ausführende Dienststelle nur für ein selbstsigniertes Zertifikat entschieden haben und die Kosten oder den Aufwand für ein bereits den gängigen Browsern bekanntes Zertifikat vermeiden.
ads@iridium:/tmp$ openssl verify server.crt
server.crt: /C=DE/ST=Sachsen-Anhalt/L=Magdeburg/O=Polizei LSA/OU=TPA Magdeburg/CN=www.polizei.sachsen-anhalt.de
error 18 at 0 depth lookup:self signed certificate
OK
Wenn jemand sowieso schon meine Internetverbindung abhört, schafft er es auch, mir hier ein gefälschtes Zertifikat unterzuschieben. Weiterhin (un)lustig: das Zertifikat lautet auf die Webseite (CN) www.polizei.sachsen-anhalt.de, jedoch liegt das Formular für die Anzeige auf er01.polizei.sachsen-anhalt.de und löst damit bei jedem vernünftigen Browser eine Warnung aus.
Die Webseite fordert den Besucher dazu auf, das Zertifikat “einfach” im eigenen Browser zu installieren. Im Gegensatz dazu muss sich die Warnung des LKA vor zunehmender Computerkriminalität doch wie blanker Hohn lesen … auf der einen Seite soll man möglichst vorsichtig sein, auf der anderen Seite einfach selbstsignierte Zertifikate aus nicht vertrauenswürdigen Quellen installieren.
Die Polizei muss noch viel lernen, um uns sicher durch das Internet zu begleiten.