SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:

Kommentieren



Anzeige

  1. SAP-Projektmanager / Stellvertretender Leiter IT (m/w)
    RINGSPANN GmbH, Bad Homburg bei Frankfurt am Main
  2. Anwendungsentwickler (m/w)
    spb GmbH elektronische Datenverarbeitung, Bremen
  3. IT Risk Officer/IT Risiko Spezialist (m/w) für Operatives Risiko Management
    Vattenfall Europe Business Services GmbH, Hamburg, Berlin, Amsterdam (Niederlande)
  4. Software Engineer (m/w) - Software System Development
    Siemens AG, Erlangen

 

Detailsuche


Folgen Sie uns
       


  1. Ofcom

    Briten schalten den Pornofilter ab

  2. Erstmal keine Integration

    iOS 8 und OS X Yosemite sollen nicht parallel erscheinen

  3. Privacy

    Unsichtbares Tracking mit Bildern statt Cookies

  4. Oberster Gerichtshof

    Österreichs Provider gegen Internetsperren zu Kino.to

  5. Eigene Cloud

    Owncloud 7 mit Server-to-Server-Sharing

  6. Electronic Arts

    Battlefield Hardline auf Anfang 2015 verschoben

  7. Schlafmonitor

    Besser schlafen mit Sense

  8. Videostreaming

    Youtube-Problem war ein Bug bei Google

  9. Prozessor inklusive Speicher

    Kommende APUs mit Stacked Memory und mehr Bandbreite

  10. Statt Codeplex

    Typescript mit neuem Compiler auf Github



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Türen geöffnet: Studenten "hacken" Tesla Model S
Türen geöffnet
Studenten "hacken" Tesla Model S
  1. Model III Tesla kündigt günstigeres Elektroauto an
  2. IMHO Kampfansage an das Patentsystem
  3. Elektroautos Tesla gibt seine Patente zur Nutzung durch andere frei

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

Android L im Test: Google verflacht Android
Android L im Test
Google verflacht Android
  1. Android L Keine Updates für Entwicklervorschau geplant
  2. Inoffizieller Port Android L ist für das Nexus 4 verfügbar
  3. Android L Cyanogenmod entwickelt nicht anhand der Entwicklervorschau

    •  / 
    Zum Artikel