Zertifikate für den Internet Explorer unter Windows 7
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:

Kommentieren



Anzeige

  1. Softwareentwickler und -architekt (m/w)
    AraCom IT Services AG, Stuttgart, München, Augsburg, Gersthofen
  2. Consultants (m/w) aus den Bereichen Naturwissenschaften, Mathematik, Informatik, Ingenieurwesen
    Basycon über access KellyOCG GmbH, München, Frankfurt, Hamburg
  3. Software Defect Manager (m/w)
    Harman Becker Automotive Systems GmbH, Garching bei München
  4. Software-Entwickler/in im BI-Umfeld
    Hügli Nahrungsmittel GmbH, Radolfzel

 

Detailsuche


Hardware-Angebote
  1. TIPP: Alternate Schnäppchen Outlet
  2. TIPP: Kingston HyperX Cloud Headset
    84,90€
  3. TOPSELLER BEI ALTERNATE: G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Vorratsdatenspeicherung

    Erster SPD-Abgeordneter lehnt Regierungspläne ab

  2. P2P

    Transferwise will günstige Überweisungen weltweit bieten

  3. Ex-Pirat

    Lauer wird Springers Chef für Innovationen

  4. Lifetab S10364

    Aldi bringt 10-Zoll-Tablet erneut für 200 Euro

  5. Regierungskommission

    Abbau von Netzneutralität soll Glasfaserausbau ankurbeln

  6. Lite

    Huaweis kleines P8 kostet 250 Euro

  7. Test Assassin's Creed Chronicles

    Meuchelmord und Denksport in China

  8. Jobcenter

    Hardware verursachte IT-Ausfall bei Agentur für Arbeit

  9. Piko H0 Smartcontrol

    Pufferküsser fahren Modellbahnen bald mit Android

  10. Maglev

    Magnetschwebebahn bricht mit 603 km/h erneut Rekord



Haben wir etwas übersehen?

E-Mail an news@golem.de



Hello Firefox OS: Einfacher Einstieg in die App-Entwicklung mit Firefox OS
Hello Firefox OS
Einfacher Einstieg in die App-Entwicklung mit Firefox OS
  1. Biicode Abhängigkeitsverwaltung für C/C++ ist Open Source
  2. Freie Bürosoftware Libreoffice liegt im Rennen gegen Openoffice weit vorne
  3. ARM-SoC Allwinner verschleiert Lizenzverletzungen noch weiter

Flex Shape Gripper: Zuschnappen wie ein Chamäleon
Flex Shape Gripper
Zuschnappen wie ein Chamäleon
  1. Windkraftwerke Kletterroboter überprüft Windräder
  2. Care-O-bot Der Gentleman-Roboter gibt sich die Ehre
  3. Roboter Festos Falter fliegen fleißig

Android 5.1 im Test: Viel nützlicher Kleinkram
Android 5.1 im Test
Viel nützlicher Kleinkram
  1. Google EU-Wettbewerbsverfahren auch zu Android
  2. Lollipop Trage-Erkennung setzt Passwortsperre aus
  3. Google Android 5.1 bringt mehr Bedienungskomfort und Sicherheit

  1. Re: Wozu?

    alex2345 | 19:47

  2. Investitionen der Konzerne schützen, Startups...

    tingelchen | 19:46

  3. Übrigens: Lammert würde gerne das...

    user_name2015 | 19:45

  4. Re: Da wird geraten, nicht gemessen

    TC | 19:44

  5. Re: ähm... Bitcoin?

    Squirrelchen | 19:44


  1. 18:36

  2. 18:30

  3. 18:26

  4. 16:58

  5. 15:50

  6. 14:54

  7. 14:00

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel