Abo
  • Services:
Anzeige
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

TLS-Zertifikate: Comodo stellt fälschlicherweise Microsoft-Zertifikat aus

Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.

Anzeige

Unbekannten ist es gelungen, sich ein Zertifikat für die Microsoft-Domain live.fi ausstellen zu lassen. Das teilte Microsoft in einem Advisory mit. Ausgestellt wurde das Zertifikat von der Zertifizierungsstelle Comodo.

E-Mail-Adresse hostmaster@live.fi erstellt

Die betroffene Domain wird von Microsoft in Finnland zur Bereitstellung der Windows-Live-Services genutzt. Laut Recherchen der Webseite The Register gelang es dem Angreifer, sich die E-Mail-Adresse hostmaster@live.fi anzulegen. Derartige Mailadressen werden von Zertifizierungsstellen genutzt, um zu prüfen, ob eine Domain tatsächlich dem Antragsteller für ein Zertifikat gehört.

Zugelassen für dieses Verfahren namens Domain Validation sind für jede Domain fünf E-Mail-Adressen, deren Lokalteil admin, administrator, webmaster, hostmaster oder postmaster lauten muss. Diese zulässigen Adressen sind in den sogenannten Baseline Requirements des CA/Browser-Forums festgelegt. Anbieter von E-Mail-Services müssen dafür sorgen, dass diese E-Mail-Adressen ausschließlich von Administratoren genutzt werden können. Insbesondere Freemail-Anbieter müssen hier darauf achten, dass es nicht möglich ist, dass beliebige Nutzer derartige Mailadressen anlegen können.

OCSP-Prüfung ist unsicher

Ein Problem, das sich bei diesem Vorfall erneut zeigt: Es ist extrem schwierig, Zertifikate als ungültig zu markieren. Zwar gibt es theoretisch eine Gültigkeitsprüfung von Zertifikaten entweder über Sperrlisten (Certificate Revocation Lists CRLs) oder über die Technologie OCSP. Doch beide Technologien haben ein Problem: Sie sind in praktisch allen Browsern nur in einem sogenannten Soft-Fail-Modus aktiviert. Ist der entsprechende Server der Zertifizierungsstelle nicht erreichbar, werden die Zertifikate trotzdem als gültig akzeptiert. Die gesamte Gültigkeitsprüfung ist somit eigentlich sinnlos, denn ein Angreifer, der mittels eines erschlichenen Zertifikats eine Man-in-the-Middle-Attacke durchführt, kann schlicht die Verbindung zum CRL- und OCSP-Server stoppen.

Chrome hat inzwischen aus diesem Grund die Gültigkeitsprüfung über OCSP und CRL komplett aufgegeben und nutzt ein Verfahren namens CRLset. Dabei erhält der Browser eine Liste von wichtigen ungültigen Zertifikaten. Das CRLset-Verfahren funktioniert allerdings nicht in großem Stil, denn wenn man alle ungültigen Zertifikate darüber verteilen würde, wäre die Liste zu groß.

Abhilfe schaffen könnte das Verfahren OCSP Stapling zusammen mit einer Erweiterung von Zertifikaten, die das Stapling vorschreibt. Doch während OCSP Stapling schon funktioniert und von einigen Webseiten eingesetzt wird, ist die für ein sicheres Verfahren notwendige Must-Staple-Erweiterung bislang nur ein Entwurf, an dem zurzeit auch niemand arbeitet.

Microsoft selbst liefert inzwischen ein Update für Windows aus, mit dem das Zertifikat gesperrt wird. Das funktioniert zwar in prominenten Fällen wie diesem, bei dem für wichtige Domains ein unberechtigtes Zertifikat ausgestellt wird, es zeigt aber deutlich, dass es kein praktikables Verfahren zum Zurückziehen von Zertifikaten gibt.

Internet Explorer unterstützt kein Key Pinning

Angriffe mit erschlichenen Zertifikaten können durch ein Verfahren namens HTTP Public Key Pinning (HPKP) deutlich erschwert werden. Dabei speichert der Browser bei der ersten Verbindung zu einer Webseite einen Hash-Wert des zum Zertifikat gehörenden kryptographischen Schlüssels. Doch Microsoft hinkt in Sachen HPKP hinterher: Der Internet Explorer unterstützt das Key Pinning nicht und Microsofts Webseiten liefern auch keinen entsprechenden Header aus.

Comodo ist nicht zum ersten Mal im Zusammenhang mit fälschlicherweise ausgestellten Zertifikaten in den Schlagzeilen. 2011 gab es zahlreiche Vorfälle, bei denen die Firma, die inzwischen die weltgrößte Zertifizierungsstelle ist, Unberechtigten Zertifikate ausgab. Zuletzt war Comodo auch im Zusammenhang mit der Software Privdog in den Negativschlagzeilen. Allerdings scheint es so, dass im aktuellen Fall Comodo keine Schuld trifft. Vielmehr liegt der Fehler alleine bei Microsoft.

Nachtrag vom 19. März 2015, 9:58 Uhr

Ursprünglich hatten wir geschrieben, dass das entsprechende Zertifikat über die Mailadresse admin@live.fi registriert worden sei. Einem Bericht der Webseite Tivi.fi zufolge, die mit dem Zertifikatsaussteller gesprochen hat, handelte es sich jedoch um die Adresse hostmaster@live.fi.


eye home zur Startseite
SoniX 18. Mär 2015

Ja, ich meinte sowas wie deine angesprochene "Baseline" Verschlüsselung für den...

negecy 17. Mär 2015

Korrekt, daher nicht DANE versus(!) PKIX sondern PKIX mit(!) DANE, dann wird ein Schuh draus.

RipClaw 17. Mär 2015

Klar kannst du via SQL Injection bei einem CMS die Datei simulieren oder aber wenn du...



Anzeige

Stellenmarkt
  1. QSC AG, Hamburg
  2. Porsche AG, Zuffenhausen
  3. Fresenius Netcare GmbH, Bad Homburg
  4. soccerwatch.TV, Essen (Home-Office möglich)


Anzeige
Top-Angebote
  1. (ohne Prime bzw. unter 29€-Einkauf zzgl. 3€ Versand)
  2. (alle Angebote versandkostenfrei, u. a. Sony STR-DN860 AV-Receiver für 355,00€ u. Star Wars...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Statt FaktenFaktenFakten nur LügenLügenLügen?

    DY | 07:23

  2. Re: Keine #3

    sk3wy | 07:18

  3. Re: Mmmmh, 30 FPS

    NaruHina | 07:09

  4. Re: Quasi die Cloud zurück ins LAN holen

    Theholger | 07:09

  5. Re: das muss man allerdings vervollständigen

    sk3wy | 07:06


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel