Anzeige
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt: Kostenlose Zertifikate angeblich auch für Malware

Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.

Das Unternehmen Trend Micro berichtet, dass Let's Encrypt nun auch von sogenannten Malvertisern genutzt werde, die Schadsoftware über eine Einbettung in Werbeformate verteilen. Der Anti-Viren-Hersteller Trend Micro agiert auch als Certificate Authority (CA) und meint darüber hinaus, dieses Potenzial zum Missbrauch von Let's Encrypt habe es schon immer gegeben.

Anzeige

Denn der kostenlose Dienst von Let's Encrypt zum Ausstellen von TLS-Zertifikaten für Webseiten überprüfe nur, ob der Antragsteller des Zertifikats die Kontrolle über die Domain besitzt, für die das Zertifikat ausgestellt werden soll. Eine weitergehende Identitätsprüfung wie bei den kommerziellen CAs finde nicht statt.

Den Ausführungen von Trend Micro zufolge haben sich Angreifer nun ein Zertifikat für die Subdomain zu einer legitimen Domain erstellt. Sie haben die Kontrolle über ad.$hostname.com erhalten, den darüber laufenden Traffic mit Hilfe des Zertifikats von Let's Encrypt verschlüsselt und anschließend in die ausgelieferte Werbung Malware eingebettet.

Let's Encrypt ist nicht das Problem

Diese Argumentation, welche Let's Encrypt nicht gerade in ein gutes Licht rückt, kritisiert der Google-Angestellte Ryan Hurst in seinem privaten Blog. Dort heißt es, dass Trend Micro wissentlich oder unwissentlich wichtige Details dieses Vorfalls falsch darstelle.

Immerhin sei der beschriebene Angriff nicht allein bei Let's Encrypt möglich, sondern sei in der Vergangenheit auch bei vielen anderen CAs aufgetreten, was Trend Micro allerdings nicht erwähnt. Außerdem sei der Angriff nicht wegen der TLS-Verschlüsselung möglich, sondern weil die Angreifer die Kontrolle über eine fremde Domain übernehmen konnten. Der Angriff hätte also auch ganz ohne Zertifikat ausgeführt werden können.

Hurst nennt die Ausführungen von Trend Micro deshalb letztlich "fadenscheinig" und vermutet, dass der Bericht lediglich darauf abziele, das eigene kostenpflichtige Angebot gegenüber dem kostenlosen Dienst von Let's Encrypt abzugrenzen, wie dies bereits andere CAs getan hätten.


eye home zur Startseite
Anke 27. Jan 2016

Ich hatte gute Erfahrungen mit https://www.cheapsslshop.com/ Preiswert und kräftige...

SJ 08. Jan 2016

Was für nen Freifahrtschein denn?

negecy 07. Jan 2016

Das ist eben gerade *falsch*. Es gibt so genannte High Risk Domains und auch...

decaflon 07. Jan 2016

Das stimmt so nicht, mit einem Zertifikat wird nicht verschlüsselt, das geschieht mit...

pythoneer 07. Jan 2016

Warum soll das SnakeOil sein? Das ist so unsinnig als würde ich behaupten, dass...

Kommentieren



Anzeige

  1. Technical Lead New Venture (m/w)
    über DHR International NEUMANN, Salzburg (Österreich)
  2. Netzwerkadministrator (m/w) Schwerpunkt Firewall
    Hemmersbach, Nürnberg
  3. Berater SAP (m/w)
    AOK Systems GmbH, Bonn
  4. Ingenieur (m/w) Test und Entwicklung Elektronikzubehör Automotive USA
    FORMEL D, Spartanburg und New Jersey (USA)

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Zotac Geforce GTX970
    259,00€ (Vergleichspreis: 290,04€)
  2. NEU: Geforce GTX 1080 Info-Seite
    ab 27.05. verfügbar
  3. GELISTET: Asus GeForce GTX 1080 Founders Edition
    789,00€

Weitere Angebote


Folgen Sie uns
       


  1. Medizin

    Tricorderartiger Sensor erfasst Vitaldaten

  2. TG-Tracker

    Sensorbeladene Olympus-Actionkamera mit 4K-Aufnahme

  3. Trotz Unterlassungserklärung

    Unitymedia bleibt im Streit um WLAN-Hotspots hart

  4. Auftragshersteller

    Apple soll Bestellungen für iPhone 7 stark erhöht haben

  5. TSST-K

    Ungewisse Zukunft für einen der letzten ODD-Anbieter

  6. Google und Starbreeze als Partner

    Imax arbeitet an VR-Kamera und VR-Kinos

  7. Scramjet

    Hyperschalltriebwerk erfolgreich getestet

  8. Apple

    Beta von iOS 9.3.3 und OS X 10.11.6 veröffentlicht

  9. Regulierbare Farbtemperatur

    Philips Hue White Ambiance jetzt im Handel

  10. Spotify Family

    Musikstreamingdienst wird günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Doom im Technik-Test: Im Nightmare-Mode erzittert die Grafikkarte
Doom im Technik-Test
Im Nightmare-Mode erzittert die Grafikkarte
  1. Doom Hölle für alle
  2. Doom Bericht aus der Bunnyhopping-Hölle
  3. Bethesda Doom erscheint ungeschnitten in Deutschland

Oxford Nanopore: Das Internet der lebenden Dinge
Oxford Nanopore
Das Internet der lebenden Dinge
  1. Wie Glas Forscher machen Holz transparent
  2. Smartwatch Skintrack macht den Arm zum Touchpad
  3. Niederschläge Die Vereinigten Arabischen Emirate wollen einen Berg

  1. Re: CDs sind wie Floppys, Kassetten und VHSs

    DetlevCM | 11:45

  2. Re: Zigbee

    dantist | 11:44

  3. Re: Verschandelung gibt's schon überall

    Trollversteher | 11:44

  4. Re: Qualität ist zu schlecht.

    nille02 | 11:43

  5. Re: Na endlich

    Lala Satalin... | 11:43


  1. 11:38

  2. 11:28

  3. 11:10

  4. 10:43

  5. 10:34

  6. 09:44

  7. 09:00

  8. 07:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel