Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist.
Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist. (Bild: Screenshot Hanno Böck)

TLS-Bibliotheken: Fehler finden mit fehlerhaften Zertifikaten

Mit Hilfe von fehlerhaften X.509-Zertifikaten haben Forscher zahlreiche zum Teil sicherheitskritische Bugs in TLS-Bibliotheken gefunden. Erneut wurde dabei eine gravierende Sicherheitslücke in GnuTLS entdeckt.

Anzeige

Ein Forscherteam hat zahlreiche Fehler in quelloffenen Verschlüsselungsbibliotheken bei der Überprüfung von Zertifikaten entdeckt. In GnuTLS und in MatrixSSL wurden dabei Sicherheitslücken entdeckt, die unter bestimmten Umständen Man-in-the-Middle-Angriffe ermöglichen.

Mit Hilfe eines Scans wurden zunächst etwa 250.000 echte Zertifikate, die auf Internetservern zum Einsatz kommen, gesammelt. Anschließend wurden in diesen Zertifikaten zahlreiche Parameter geändert, sie waren aber weiterhin korrekt lesbar. Die Forscher nennen diese manipulierten Zertifikate passenderweise "Frankencerts". Anschließend wurde geprüft, ob die Prüfroutinen der verschiedenen TLS-Bibliotheken die Zertifikate als gültig betrachten. Die Idee: Wenn ein Zertifikat von einer Bibliothek als gültig und von einer anderen als ungültig betrachtet wird, ist eine der Prüfroutinen fehlerhaft.

In GnuTLS und MatrixSSL wurden alte Zertifikate, die nach der veralteten Version 1 des X.509-Standards erstellt wurden, grundsätzlich als Zertifizierungsstellen akzeptiert. Das bedeutet, dass ein Angreifer, der ein solches altes Zertifikat von einer Zertifizierungsstelle erhält, damit beliebige weitere Zertifikate signieren konnte. Der entsprechende Fehler in GnuTLS, der mit der ID CVE-2014-1959 bezeichnet wird, wurde bereits Anfang März in der Version 3.2.12 behoben, von MatrixSSL gibt es noch kein Update.

Damit hatte GnuTLS in der vergangenen Zeit zwei derartige Sicherheitslücken. Anfang März wurde bereits berichtet, dass die Bibliothek speziell präparierte fehlerhafte Zertifikate als gültig anerkennt und somit Angriffe ermöglicht.

Browserwarnungen verwirrend

Weiterhin fanden die Autoren heraus, dass in manchen Browsern teilweise den Nutzern sehr verwirrende Warnungen gezeigt werden. So wird in Chrome und Chromium unter Linux sowie in Safari ein Zertifikat, welches von keiner vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und gleichzeitig abgelaufen ist, dem Nutzer nur als abgelaufen angezeigt. Ein Nutzer könnte denken, dass ein abgelaufenes Zertifikat nicht so schlimm ist, da dies häufiger vorkommt, wenn ein Administrator vergisst, das Zertifikat rechtzeitig zu erneuern. Dass das Zertifikat generell nicht als gültig erkannt wurde, erfährt man nicht.

Zahlreiche weitere Fehler wurden ebenfalls aufgedeckt, so prüften etwa verschiedene TLS-Bibliotheken unzureichend, wenn in Zertifikaten Beschränkungen für die Nutzung von kryptographischen Schlüsseln eingetragen wurden. Alle Entwickler der entsprechenden Bibliotheken und Browser wurden von den Autoren informiert.

Die Forscher haben sich auf quelloffene TLS-Bibliotheken konzentriert, weisen aber darauf hin, dass man die gleichen Tests auch mit proprietären Bibliotheken durchführen könnte. Durchgeführt wurden die Tests von einem Team von Wissenschaftlern der University of Texas in Austin und der University of California in Davis.


Kommentieren



Anzeige

  1. IT-Administrator/-in
    Gehring Technologies GmbH, Ostfildern
  2. Senior Consultant / Technical Architect (m/w) für Adobe Experience Manager (CQ / AEM)
    über Randstad Deutschland GmbH, Bonn
  3. Applikationsspezialist (m/w) SharePoint
    Dürr IT Service GmbH, Bietigheim-Bissingen
  4. Referenten im Bereich Reporting (m/w)
    BASF Services Europe GmbH, Berlin

 

Detailsuche


Blu-ray-Angebote
  1. Ghostbusters 2 - Sie sind zurück (4K Mastered) [Blu-ray]
    7,99€
  2. Mystic River (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 28.05.
  3. Mad Max 2 - Der Vollstrecker (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 07.05.

 

Weitere Angebote


Folgen Sie uns
       


  1. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  2. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  3. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  4. Windkraftwerke

    Kletterroboter überprüft Windräder

  5. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  6. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  7. Google

    Chrome unterstützt Windows XP bis Ende 2015

  8. Kernel

    GNU Hurd 0.6 erschienen

  9. Highway Star

    Wikos Alu-Smartphone kostet 370 Euro

  10. MM1

    VR-Stuhl mit Fünf-Punkte-Gurt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Onion Omega Preiswertes Bastelboard für OpenWrt
  2. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  3. MIPS Creator CI20 angetestet Die Platine zum Pausemachen

Axiom Verge im Test: 16 Bit für Genießer
Axiom Verge im Test
16 Bit für Genießer
  1. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  2. Test Mushroom Men Der Knobelpilz und die dicke Prinzessin
  3. The Witness Ex-Indie-Millionär nimmt Kredit für nächstes Projekt auf

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

  1. Re: Eigentlich kann man mit diesem Quatsch mal...

    Der Held vom... | 10:41

  2. Wo liegt das Problem?

    HaMa1 | 10:36

  3. Re: Einfach selber Fotos machen!

    Mingfu | 10:34

  4. Re: Selbst wenn man 100mbit hätte

    plutoniumsulfat | 10:33

  5. Re: Smartgrid&Smartmeter unabdingbar für die...

    robinx999 | 10:32


  1. 09:01

  2. 20:53

  3. 19:22

  4. 18:52

  5. 16:49

  6. 16:35

  7. 15:14

  8. 14:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel