Abo
  • Services:
Anzeige
Zertifikate für den Internet Explorer unter Windows 7
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


eye home zur Startseite
phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:



Anzeige

Stellenmarkt
  1. Joseph Vögele AG, Ludwigshafen
  2. init AG, Karlsruhe
  3. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf
  4. über Robert Half Technology, Berlin


Anzeige
Hardware-Angebote
  1. (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming)
  2. (Core i5-6600 + Geforce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  2. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  3. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  4. Sony

    Absatz der Playstation 4 weiter stark

  5. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  6. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr

  7. Rechtsstreit

    Nvidia zahlt 30 US-Dollar für 512 MByte

  8. Formel E

    Die Elektrorenner bekommen einen futuristischen Frontflügel

  9. Familienmediathek

    Google lässt gekaufte Play-Store-Inhalte teilen

  10. Nokia

    Microsoft weitet Massenentlassungen in Smartphone-Sparte aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

  1. Re: Achtung! Kunde droht mit Auftrag

    Roflb3rg3r | 14:11

  2. Re: Docker für Windows auch für normale Anwender...

    DanielSchulz | 14:11

  3. Re: Liebe Spiele-Entwickler

    unbuntu | 14:09

  4. Re: Es geht doch! B14393.5

    TheUnichi | 14:09

  5. Re: Faszinierend

    theonlyone | 14:08


  1. 13:00

  2. 12:28

  3. 12:19

  4. 12:16

  5. 12:01

  6. 11:39

  7. 11:23

  8. 11:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel