SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:

Kommentieren



Anzeige

  1. Berater / Trainer (m/w)
    IG Metall, Frankfurt am Main
  2. Mitarbeiter (m/w) Produktionssteu­erung
    Koch, Neff & Volckmar GmbH, Stuttgart
  3. Technical Product Owner (m/w)
    PE International AG, Stuttgart and Boston (USA)
  4. Business Intelligence Expert (m/w) (BI-Management & -Reporting)
    DÖHLERGRUPPE, Darmstadt

 

Detailsuche


Folgen Sie uns
       


  1. Shuttle DSA2LS

    Minirechner auf Android-Basis mit RS-232-Schnittstelle

  2. Nur Jailbreak betroffen

    Schadsoftware infiziert 75.000 iPhones

  3. Test Star Wars Commander

    Die dunkle Seite der Monetarisierung

  4. Probleme in der Umlaufbahn

    Galileo-Satelliten nicht ideal abgesetzt

  5. Telefonie und Internet

    Bundesweite DSL-Störungen bei O2

  6. iPhone 5

    Apple bietet für einzelne Geräte einen Akkutausch an

  7. Leistungsschutzrecht

    Kartellamt weist Beschwerde gegen Google zurück

  8. Projekt DeLorean

    Microsofts Game-Streaming rechnet 250 ms Latenz weg

  9. Digitale Agenda

    Bitkom fordert komplette Nutzung des 700-Megahertz-Bandes

  10. Watch Dogs

    Gezielt Freunde hacken



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sofia: Der fliegende Blick durch den Staub
Sofia
Der fliegende Blick durch den Staub
  1. Audio aus Video Gefilmte Topfpflanze verrät Gespräche
  2. Nahrungsmittel Trinken statt Essen
  3. Bioelektronik Pilze sind die besten Zellschnittstellen

IPv6: Der holperige Weg zu neuen IP-Adressen
IPv6
Der holperige Weg zu neuen IP-Adressen
  1. Stellenanzeige Facebook will Linux-Netzwerkstack wie in FreeBSD
  2. Internet der Dinge Google, Samsung und ARM mit Thread gegen WLAN und Bluetooth
  3. Für Azure Microsoft gehen US-IPv4-Adressen aus

Digitale Agenda: Ein Papier, das alle enttäuscht
Digitale Agenda
Ein Papier, das alle enttäuscht
  1. Digitale Agenda 38 Seiten Angst vor festen Zusagen
  2. Breitbandausbau Telekom will zehn Milliarden Euro vom Staat für DSL-Ausbau
  3. Zwiespältig Gesetz gegen WLAN-Störerhaftung von Cafés und Hotels fertig

    •  / 
    Zum Artikel