Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist.
Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist. (Bild: Screenshot Hanno Böck)

TLS-Bibliotheken: Fehler finden mit fehlerhaften Zertifikaten

Mit Hilfe von fehlerhaften X.509-Zertifikaten haben Forscher zahlreiche zum Teil sicherheitskritische Bugs in TLS-Bibliotheken gefunden. Erneut wurde dabei eine gravierende Sicherheitslücke in GnuTLS entdeckt.

Anzeige

Ein Forscherteam hat zahlreiche Fehler in quelloffenen Verschlüsselungsbibliotheken bei der Überprüfung von Zertifikaten entdeckt. In GnuTLS und in MatrixSSL wurden dabei Sicherheitslücken entdeckt, die unter bestimmten Umständen Man-in-the-Middle-Angriffe ermöglichen.

Mit Hilfe eines Scans wurden zunächst etwa 250.000 echte Zertifikate, die auf Internetservern zum Einsatz kommen, gesammelt. Anschließend wurden in diesen Zertifikaten zahlreiche Parameter geändert, sie waren aber weiterhin korrekt lesbar. Die Forscher nennen diese manipulierten Zertifikate passenderweise "Frankencerts". Anschließend wurde geprüft, ob die Prüfroutinen der verschiedenen TLS-Bibliotheken die Zertifikate als gültig betrachten. Die Idee: Wenn ein Zertifikat von einer Bibliothek als gültig und von einer anderen als ungültig betrachtet wird, ist eine der Prüfroutinen fehlerhaft.

In GnuTLS und MatrixSSL wurden alte Zertifikate, die nach der veralteten Version 1 des X.509-Standards erstellt wurden, grundsätzlich als Zertifizierungsstellen akzeptiert. Das bedeutet, dass ein Angreifer, der ein solches altes Zertifikat von einer Zertifizierungsstelle erhält, damit beliebige weitere Zertifikate signieren konnte. Der entsprechende Fehler in GnuTLS, der mit der ID CVE-2014-1959 bezeichnet wird, wurde bereits Anfang März in der Version 3.2.12 behoben, von MatrixSSL gibt es noch kein Update.

Damit hatte GnuTLS in der vergangenen Zeit zwei derartige Sicherheitslücken. Anfang März wurde bereits berichtet, dass die Bibliothek speziell präparierte fehlerhafte Zertifikate als gültig anerkennt und somit Angriffe ermöglicht.

Browserwarnungen verwirrend

Weiterhin fanden die Autoren heraus, dass in manchen Browsern teilweise den Nutzern sehr verwirrende Warnungen gezeigt werden. So wird in Chrome und Chromium unter Linux sowie in Safari ein Zertifikat, welches von keiner vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und gleichzeitig abgelaufen ist, dem Nutzer nur als abgelaufen angezeigt. Ein Nutzer könnte denken, dass ein abgelaufenes Zertifikat nicht so schlimm ist, da dies häufiger vorkommt, wenn ein Administrator vergisst, das Zertifikat rechtzeitig zu erneuern. Dass das Zertifikat generell nicht als gültig erkannt wurde, erfährt man nicht.

Zahlreiche weitere Fehler wurden ebenfalls aufgedeckt, so prüften etwa verschiedene TLS-Bibliotheken unzureichend, wenn in Zertifikaten Beschränkungen für die Nutzung von kryptographischen Schlüsseln eingetragen wurden. Alle Entwickler der entsprechenden Bibliotheken und Browser wurden von den Autoren informiert.

Die Forscher haben sich auf quelloffene TLS-Bibliotheken konzentriert, weisen aber darauf hin, dass man die gleichen Tests auch mit proprietären Bibliotheken durchführen könnte. Durchgeführt wurden die Tests von einem Team von Wissenschaftlern der University of Texas in Austin und der University of California in Davis.


Kommentieren



Anzeige

  1. Spezialist (m/w) Entwicklung Systemsoftware
    Torqeedo GmbH, Gilching (Großraum München) / Fürstenfeldbruck
  2. Junior Consultant Finance Processes & Applications (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  3. Ingenieur Elektrotechnik / Informationstechniker (m/w)
    IT Solutions GmbH, Frankfurt am Main
  4. CRM Entwickler / Administrator (m/w)
    Nemetschek Allplan Systems GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Elektroautos

    Tesla will Akkufabrik in Deutschland bauen

  2. Studie

    Mädchen interessieren sich quasi gar nicht für IT-Berufe

  3. Taxi-Konkurrenz

    Uber will Gesetzesreform

  4. Star Citizen

    Virtuelles Raumschiff für 2.500 US-Dollar

  5. Patentstreit

    Samsung fordert Importverbot für Nvidia-GPUs

  6. Spieleklassiker

    Retrogolem spielt Star Wars X-Wing (DOS)

  7. Panasonic Lumix DMC-LX100 im Test

    Kamera zum Begeistern und zum Verzweifeln

  8. Kanzlerhandy

    Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen

  9. Internetsuche

    EU-Parlamentarier erwägen Google-Aufspaltung

  10. 15 Jahre Unreal Tournament

    Spiel, Bot und Sieg



Haben wir etwas übersehen?

E-Mail an news@golem.de



Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

SE Android: In Lollipop wird das Rooten schwer
SE Android
In Lollipop wird das Rooten schwer
  1. Lollipop Android 5.0 für deutsche Nexus-Geräte ist da
  2. Android 5.0 Lollipop wird für Nexus-Geräte verteilt
  3. Android 5.0 Aktuelles Moto G ist erstes Smartphone mit Lollipop-Update

Battlefield Hardline angespielt: New Action Hero
Battlefield Hardline angespielt
New Action Hero
  1. Videostreaming Youtube startet 60-fps-Wiedergabe
  2. Electronic Arts Business-Ergebnisse und Battlefield-Termine
  3. Dreijahresplan EA will Spielervertrauen zurückgewinnen

    •  / 
    Zum Artikel