Chrome und die Nullzeichen Zertifikate

Da lese ich gerade bei Heise, das jetzt ein Zertifikat speziell für www.paypal.com angepasst wurde, um Probleme mit der Nullzeichenfilterung in SSL-Zertifikaten zu verdeutlichen. Damit sollen die Entwickler aufgerüttelt werden, endlich etwas gegen diesen Fehler zu unternehmen.

Nun gut, jetzt schreibt der Autor aber, dass in Chrome die zugehörige Überprüfung von Zertifikaten abgeschaltet sein sollte.

In meiner Bachelorarbeit habe ich mich ja auch gerade mit dem Thema beschäftigt und bei mir war diese Option in der aktuellen Chrome 3 Version (also keine Entwickler- oder sonstwie-beta-Version) auch aktiviert. Das habe ich jetzt auf mehreren Rechnern schon testen können. Ich habe jetzt noch mehr Rechner damit mal befüllt und siehe da, die Option scheint echt deaktiviert zu sein ?! fragt sich nur, warum das auf den Rechnern von mir an war oder ich mir da selber das Ergebnis mit einer uralten Installation verfälscht habe 🙁

Was stimmt denn nun? Könnt ihr das auch mal ausprobieren und bei euch nachgucken? Zu finden ist das unter dem Schraubenschlüsselsymbol rechts oben im Browser, dann unter Optionen und anschließend unter Sicherheit muss der Punkt „Sperrung des Zertifikats überprüfen“ gesetzt sein. Die von mir getestete Version ist die aktuelle 3.0.195.25. Im Heise Forum wundern sich über diese Tatsache auch schon einige Leute und für mich wäre das natürlich noch ein Punkt, den ich eventuell beachten müsste.

Zwar schützt diese Option nicht vor erneuten Angriffen mit dem Nullzeichenfehler, aber zumindest verhindert sie bei bekannteren Zertifikaten größeres Unheil, in dem der Nutzer vorher bei Betreten der Seite gewarnt wird.