CWE ID: 295
Name: Improper Certificate Validation
Das Produkt validiert ein Zertifikat nicht oder validiert es fehlerhaft.
Wenn ein Zertifikat ungültig oder bösartig ist, kann dies einem Angreifer ermöglichen, eine vertrauenswürdige Entität zu fälschen, indem er in den Kommunikationspfad zwischen Host und Client eingreift. Das Produkt könnte sich mit einem bösartigen Host verbinden, während es ihn für einen vertrauenswürdigen hält, oder es könnte dazu verleitet werden, gefälschte Daten zu akzeptieren, die scheinbar von einem vertrauenswürdigen Host stammen.
Effektivität: Unknown
Beschreibung: Zertifikate sollten sorgfältig verwaltet und überprüft werden, um sicherzustellen, dass Daten mit dem öffentlichen Schlüssel des beabsichtigten Eigentümers verschlüsselt werden.
Effektivität: Unknown
Beschreibung: Wenn Certificate Pinning eingesetzt wird, stellen Sie sicher, dass alle relevanten Properties des Zertifikats vollständig validiert werden, bevor das Zertifikat gepinnt wird, einschließlich des Hostnamens.
Ein Zertifikat ist ein Token, das eine Identität (Principal) mit einem kryptografischen Schlüssel verknüpft. Zertifikate können verwendet werden, um zu überprüfen, ob ein öffentlicher Schlüssel dem angenommenen Eigentümer zugeordnet ist.
