Zertifikate für den Internet Explorer unter Windows 7
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:

Kommentieren



Anzeige

  1. IT Systemadministrator (m/w) IT Service Transition und IT Service Operation
    KfW Bankengruppe, Berlin
  2. Online Prozessmanager (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  3. Mitarbeiter (m/w) im Bereich Vorentwicklung Fahrerassistenzsysteme und hochautomatisiertes Fahren
    Robert Bosch Car Multimedia GmbH, Hildesheim
  4. Trainee (m/w) Information Technology
    Interhyp AG, München

 

Detailsuche


Blu-ray-Angebote
  1. Good Kill [Blu-ray]
    9,99€
  2. Fack ju Göhte [Blu-ray]
    7,50€
  3. Serien bis zu 40% reduziert
    (u. a. Downton Abbey 4. Staffel 19,97€, Eureka Season 5 nur 19,97€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Oneplus Two im Hands On

    Das Flagship-Killerchen

  2. #Landesverrat

    Range stellt Ermittlungen gegen Netzpolitik.org vorerst ein

  3. Biomimetik

    Roboter kann über das Wasser laufen

  4. Worms

    Kampfwürmer für zu Hause und die Hosentasche

  5. SQL-Dump aufgetaucht

    Generalbundesanwalt.de gehackt

  6. Brandgefahr

    Nvidia ruft das Shield Tablet zurück

  7. Tembo the Badass Elephant im Test

    Elefant im Elite-Einsatz

  8. Galaxy J5

    Samsungs Moto-G-Konkurrent kommt für 220 Euro

  9. Galliumnitrid

    Bisher kleinstes Notebook-Netzteil entwickelt

  10. Luftschiff

    Zeppeline für die Zukunft



Haben wir etwas übersehen?

E-Mail an news@golem.de



Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Flugverkehrskontrolle Amazon will Drohnenverkehr regeln
  2. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  3. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

Broadwell-C im Test: Intels Spätzünder auf Speed
Broadwell-C im Test
Intels Spätzünder auf Speed
  1. Core i7-5775C im Kurztest Dank Iris Pro Graphics und EDRAM überraschend flott
  2. Prozessor Intels Broadwell bietet die schnellste integrierte Grafik
  3. Prozessor Intels Broadwell Unlocked wird teuer

  1. Re: Noch nicht dran?

    zu Gast | 23:19

  2. Re: Halbleiter und HF-Transformator

    Lala Satalin... | 23:17

  3. Re: Update funktioniert nicht

    zu Gast | 23:17

  4. Re: "per Versuch und Irrtum"

    Lala Satalin... | 23:16

  5. Re: Yeah, Projekt Daedalus ist nun möglich - 12...

    Muaddib | 23:14


  1. 18:46

  2. 17:49

  3. 17:26

  4. 16:39

  5. 15:00

  6. 14:18

  7. 14:00

  8. 13:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel