Abo
  • Services:
Anzeige
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

Anzeige

Vor einigen Tagen wurde bekannt, dass für die finnische Microsoft-Domain live.fi fälschlicherweise ein Zertifikat bei der Zertifizierungsstelle Comodo ausgestellt wurde. Details, die jetzt bekanntwurden, zeigen, dass Microsoft das Problem offenbar über Wochen ignoriert hatte. Das alleine ist schon schlimm genug, dazu kommt nun jedoch, dass Microsoft in einem ähnlich gelagerten Fall in Belgien offenbar über Jahre hinweg nicht reagiert hatte.

Hostmaster-Adresse muss für User gesperrt sein

Ein Unbekannter, der sich gegenüber der finnischen Webseite Tivi.fi geäußert hat, konnte sich in seinem Microsoft-Account den Alias hostmaster@live.fi für seine Mailadresse anlegen. Das Problem dabei: Derartige M-Mail-Adressen werden von Zertifizierungsstellen genutzt, um die Besitzer von Domainnamen zu prüfen. Eine entsprechende Richtlinie, die sogenannten Baseline Requirements des CA/Browser-Forums, legt fest, welche Adressen für ein derartiges Verfahren geeignet sind. Microsoft selbst ist Mitglied im CA/Browser-Forum und hat an der Richtlinie mitgewirkt.

Laut Tivi.fi hatte der Unbekannte bereits im Januar den Vorfall an finnische Behörden und gleichzeitig an mehrere Kontaktadressen bei Microsoft gemeldet. Über mehrere Wochen erhielt er jedoch keine Antwort darauf. Am Dienstag dann meldete Microsoft den Vorfall in einem Advisory und sperrte gleichzeitig den Account des Betroffenen.

Vier Jahre im Besitz von administrator@live.be

Doch Microsoft wusste offenbar schon seit vielen Jahren, dass sich derartige administrative Mailadressen bei den Live-Diensten registrieren lassen. Der Webseite Ars Technica berichtet der Belgier Laurens Vets, dass er bereits 2010 die Mailadressen abuse@live.be, admin@live.be und administrator@live.be registriert hat. Mit zwei dieser Adressen hätte Vets ebenfalls nach Belieben TLS-Zertifikate registrieren können, in diesem Fall für die belgische Version des Live-Services. Auch Vets hatte den Vorfall an Microsoft gemeldet und im November 2010 eine Bestätigung erhalten, dass das Problem an die verantwortlichen Stellen weitergeleitet wurde. Vets kann anscheinend bis heute auf diese Mailadressen zugreifen.

Im Zusammenhang mit der Ausstellung von erschlichenen TLS-Zertifikaten wird gern auf die Mängel des Zertifikatssystems verwiesen, die zweifelsohne vorhanden sind. In diesem Fall scheint es sich allerdings vor allem um ein Problem bei Microsoft zu handeln. Offenbar ist man dort nicht in der Lage, auf Berichte über Sicherheitsvorfälle zeitnah zu reagieren.


eye home zur Startseite
Proctrap 19. Mär 2015

Heh es ist noch nicht einmal Fr. Aber trotzdem danke für die Lacher :) P.S.: Fehler...

__destruct() 19. Mär 2015

Wie bitte? Wie kann es denn noch mehr an einem Unternehmen liegen, dass ein Zertifikat...

jg (Golem.de) 19. Mär 2015

Danke für den Hinweis, wir haben das in beiden Meldungen zu dem Thema geändert! Gruß, Juliane

GeeGee 19. Mär 2015

na jetzt aber mal die Fakten auf den Tisch



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Daimler AG, Esslingen
  3. Daimler AG, Stuttgart
  4. Daimler AG, Stuttgart-Untertürkheim


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 22,13€ inkl. Versand
  3. (-75%) 2,49€

Folgen Sie uns
       


  1. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  2. Final Fantasy 15

    Square Enix will die Story patchen

  3. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  4. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  5. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  6. Weltraumroboter

    Ein R2D2 für Satelliten

  7. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  8. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  9. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  10. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
Astrohaus Freewrite im Test
Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
  1. Cisco Global Cloud Index Bald sind 90 Prozent der Workloads in Cloud-Rechenzentren
  2. Cloud Computing Hyperkonvergenz packt das ganze Rechenzentrum in eine Kiste
  3. Cloud Computing Was ist eigentlich Software Defined Storage?

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

  1. Erfahrungsbericht

    duesee | 21:07

  2. Re: ich finde das erstaunlich wenig.

    Wander | 21:05

  3. Kann ich nicht bestätigen... .

    Kleine Schildkröte | 21:03

  4. Re: Meistwerk?

    Spiritogre | 21:00

  5. Re: Es gibt dann eben keine geschützten PDFs!

    HorkheimerAnders | 20:56


  1. 18:47

  2. 17:47

  3. 17:34

  4. 17:04

  5. 16:33

  6. 16:10

  7. 15:54

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel