Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist.
Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist. (Bild: Screenshot Hanno Böck)

TLS-Bibliotheken: Fehler finden mit fehlerhaften Zertifikaten

Mit Hilfe von fehlerhaften X.509-Zertifikaten haben Forscher zahlreiche zum Teil sicherheitskritische Bugs in TLS-Bibliotheken gefunden. Erneut wurde dabei eine gravierende Sicherheitslücke in GnuTLS entdeckt.

Anzeige

Ein Forscherteam hat zahlreiche Fehler in quelloffenen Verschlüsselungsbibliotheken bei der Überprüfung von Zertifikaten entdeckt. In GnuTLS und in MatrixSSL wurden dabei Sicherheitslücken entdeckt, die unter bestimmten Umständen Man-in-the-Middle-Angriffe ermöglichen.

Mit Hilfe eines Scans wurden zunächst etwa 250.000 echte Zertifikate, die auf Internetservern zum Einsatz kommen, gesammelt. Anschließend wurden in diesen Zertifikaten zahlreiche Parameter geändert, sie waren aber weiterhin korrekt lesbar. Die Forscher nennen diese manipulierten Zertifikate passenderweise "Frankencerts". Anschließend wurde geprüft, ob die Prüfroutinen der verschiedenen TLS-Bibliotheken die Zertifikate als gültig betrachten. Die Idee: Wenn ein Zertifikat von einer Bibliothek als gültig und von einer anderen als ungültig betrachtet wird, ist eine der Prüfroutinen fehlerhaft.

In GnuTLS und MatrixSSL wurden alte Zertifikate, die nach der veralteten Version 1 des X.509-Standards erstellt wurden, grundsätzlich als Zertifizierungsstellen akzeptiert. Das bedeutet, dass ein Angreifer, der ein solches altes Zertifikat von einer Zertifizierungsstelle erhält, damit beliebige weitere Zertifikate signieren konnte. Der entsprechende Fehler in GnuTLS, der mit der ID CVE-2014-1959 bezeichnet wird, wurde bereits Anfang März in der Version 3.2.12 behoben, von MatrixSSL gibt es noch kein Update.

Damit hatte GnuTLS in der vergangenen Zeit zwei derartige Sicherheitslücken. Anfang März wurde bereits berichtet, dass die Bibliothek speziell präparierte fehlerhafte Zertifikate als gültig anerkennt und somit Angriffe ermöglicht.

Browserwarnungen verwirrend

Weiterhin fanden die Autoren heraus, dass in manchen Browsern teilweise den Nutzern sehr verwirrende Warnungen gezeigt werden. So wird in Chrome und Chromium unter Linux sowie in Safari ein Zertifikat, welches von keiner vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und gleichzeitig abgelaufen ist, dem Nutzer nur als abgelaufen angezeigt. Ein Nutzer könnte denken, dass ein abgelaufenes Zertifikat nicht so schlimm ist, da dies häufiger vorkommt, wenn ein Administrator vergisst, das Zertifikat rechtzeitig zu erneuern. Dass das Zertifikat generell nicht als gültig erkannt wurde, erfährt man nicht.

Zahlreiche weitere Fehler wurden ebenfalls aufgedeckt, so prüften etwa verschiedene TLS-Bibliotheken unzureichend, wenn in Zertifikaten Beschränkungen für die Nutzung von kryptographischen Schlüsseln eingetragen wurden. Alle Entwickler der entsprechenden Bibliotheken und Browser wurden von den Autoren informiert.

Die Forscher haben sich auf quelloffene TLS-Bibliotheken konzentriert, weisen aber darauf hin, dass man die gleichen Tests auch mit proprietären Bibliotheken durchführen könnte. Durchgeführt wurden die Tests von einem Team von Wissenschaftlern der University of Texas in Austin und der University of California in Davis.


Kommentieren



Anzeige

  1. Datenbankadministrator (m/w) Controlling
    opta data Abrechnungs GmbH, Essen
  2. Technical Consultant - ALFABET (m/w)
    ITARICON Digital Customer Solutions, Dresden
  3. IT-Spezialist Anwendungsentwicklung (m/w)
    SEMIKRON Elektronik GmbH & Co. KG, Nürnberg
  4. Software Architekt Java (m/w) PSLife
    adesso AG, verschiedene Standorte

 

Detailsuche


Spiele-Angebote
  1. Activision und Blizzard Games reduziert
    (u. a. Diablo 3 und Add-on Reaper of Souls je 20,97€, Starcraft 2 für 13,97€)
  2. NEU: Valiant Hearts: The Great War [PC Uplay Code]
    5,95€
  3. NEU: Far Cry 2 - Fortune's Edition [PC Download]
    3,40€

 

Weitere Angebote


Folgen Sie uns
       


  1. Privatsphäre

    Windows 10 telefoniert zu viel nach Hause

  2. Crema

    Eine Programmiersprache ohne Turing-Vollständigkeit

  3. Zeloslaser Cutter 2.0

    Offener Lasercutter aus Deutschland

  4. Docs.com

    Microsoft eröffnet mit Docs neue Dokument-Sharing-Plattform

  5. Dot

    Smartwatch mit Braille-Anzeige für Blinde

  6. Facettenaugen

    Forscher entwickeln Insektenauge für Drohnen

  7. Xbox One

    Windows 10 für Spieler und ein neues Halo

  8. #Landesverrat

    Justizminister Maas schmeißt Generalbundesanwalt raus

  9. Piranha Bytes' Elex

    Der Held hat einen Namen

  10. Stratolaunch Carrier

    Größtes Flugzeug der Welt soll 2016 erstmals starten



Haben wir etwas übersehen?

E-Mail an news@golem.de



SIOD: Wenn die Anzeige auch in der Zeitung blinkt
SIOD
Wenn die Anzeige auch in der Zeitung blinkt
  1. Electric Skin Nanoforscher entwickeln hautähnliches Farbdisplay
  2. Pixars Inside Out im Dolby Cinema Was blenden soll, blendet auch
  3. Panasonic FZ300 Superzoom-Kamera arbeitet mit f/2,8-Objektiv und 4K-Auflösung

Windows 10 im Tablet-Test: Ein sinnvolles Windows für Tablets
Windows 10 im Tablet-Test
Ein sinnvolles Windows für Tablets
  1. Microsoft DVD-Player-App für Windows 10 nicht für jeden gratis
  2. Windows 10 Startmenü macht nach 512 Einträgen schlapp
  3. Windows 10 Erzwungene Updates können Treiberfehler verursachen

New Horizons: Pluto wird immer faszinierender
New Horizons
Pluto wird immer faszinierender
  1. Die Woche im Video Trauer, Tests und Windows 10
  2. New Horizons Gruß aus den Pluto-Bergen
  3. Raumfahrt New Horizons wirft einen kurzen Blick auf den Pluto

  1. Re: Sendungen aufzeichnen, was ist mit Gameplay?

    WaldiBVB | 10:25

  2. Re: wieso nicht docxs.com kwt

    Himmerlarschund... | 10:24

  3. Re: Zeit.de

    Atrocity | 10:23

  4. Re: Nicht nur gefährlich, sondern auch verboten

    bernd71 | 10:23

  5. Re: Diese Einstellungen lassen sich alle direkt...

    JensM | 10:23


  1. 09:30

  2. 08:32

  3. 07:59

  4. 07:35

  5. 07:23

  6. 07:13

  7. 21:11

  8. 18:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel