Abo
  • Services:
Anzeige
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

TLS-Zertifikate: Comodo stellt fälschlicherweise Microsoft-Zertifikat aus

Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.

Anzeige

Unbekannten ist es gelungen, sich ein Zertifikat für die Microsoft-Domain live.fi ausstellen zu lassen. Das teilte Microsoft in einem Advisory mit. Ausgestellt wurde das Zertifikat von der Zertifizierungsstelle Comodo.

E-Mail-Adresse hostmaster@live.fi erstellt

Die betroffene Domain wird von Microsoft in Finnland zur Bereitstellung der Windows-Live-Services genutzt. Laut Recherchen der Webseite The Register gelang es dem Angreifer, sich die E-Mail-Adresse hostmaster@live.fi anzulegen. Derartige Mailadressen werden von Zertifizierungsstellen genutzt, um zu prüfen, ob eine Domain tatsächlich dem Antragsteller für ein Zertifikat gehört.

Zugelassen für dieses Verfahren namens Domain Validation sind für jede Domain fünf E-Mail-Adressen, deren Lokalteil admin, administrator, webmaster, hostmaster oder postmaster lauten muss. Diese zulässigen Adressen sind in den sogenannten Baseline Requirements des CA/Browser-Forums festgelegt. Anbieter von E-Mail-Services müssen dafür sorgen, dass diese E-Mail-Adressen ausschließlich von Administratoren genutzt werden können. Insbesondere Freemail-Anbieter müssen hier darauf achten, dass es nicht möglich ist, dass beliebige Nutzer derartige Mailadressen anlegen können.

OCSP-Prüfung ist unsicher

Ein Problem, das sich bei diesem Vorfall erneut zeigt: Es ist extrem schwierig, Zertifikate als ungültig zu markieren. Zwar gibt es theoretisch eine Gültigkeitsprüfung von Zertifikaten entweder über Sperrlisten (Certificate Revocation Lists CRLs) oder über die Technologie OCSP. Doch beide Technologien haben ein Problem: Sie sind in praktisch allen Browsern nur in einem sogenannten Soft-Fail-Modus aktiviert. Ist der entsprechende Server der Zertifizierungsstelle nicht erreichbar, werden die Zertifikate trotzdem als gültig akzeptiert. Die gesamte Gültigkeitsprüfung ist somit eigentlich sinnlos, denn ein Angreifer, der mittels eines erschlichenen Zertifikats eine Man-in-the-Middle-Attacke durchführt, kann schlicht die Verbindung zum CRL- und OCSP-Server stoppen.

Chrome hat inzwischen aus diesem Grund die Gültigkeitsprüfung über OCSP und CRL komplett aufgegeben und nutzt ein Verfahren namens CRLset. Dabei erhält der Browser eine Liste von wichtigen ungültigen Zertifikaten. Das CRLset-Verfahren funktioniert allerdings nicht in großem Stil, denn wenn man alle ungültigen Zertifikate darüber verteilen würde, wäre die Liste zu groß.

Abhilfe schaffen könnte das Verfahren OCSP Stapling zusammen mit einer Erweiterung von Zertifikaten, die das Stapling vorschreibt. Doch während OCSP Stapling schon funktioniert und von einigen Webseiten eingesetzt wird, ist die für ein sicheres Verfahren notwendige Must-Staple-Erweiterung bislang nur ein Entwurf, an dem zurzeit auch niemand arbeitet.

Microsoft selbst liefert inzwischen ein Update für Windows aus, mit dem das Zertifikat gesperrt wird. Das funktioniert zwar in prominenten Fällen wie diesem, bei dem für wichtige Domains ein unberechtigtes Zertifikat ausgestellt wird, es zeigt aber deutlich, dass es kein praktikables Verfahren zum Zurückziehen von Zertifikaten gibt.

Internet Explorer unterstützt kein Key Pinning

Angriffe mit erschlichenen Zertifikaten können durch ein Verfahren namens HTTP Public Key Pinning (HPKP) deutlich erschwert werden. Dabei speichert der Browser bei der ersten Verbindung zu einer Webseite einen Hash-Wert des zum Zertifikat gehörenden kryptographischen Schlüssels. Doch Microsoft hinkt in Sachen HPKP hinterher: Der Internet Explorer unterstützt das Key Pinning nicht und Microsofts Webseiten liefern auch keinen entsprechenden Header aus.

Comodo ist nicht zum ersten Mal im Zusammenhang mit fälschlicherweise ausgestellten Zertifikaten in den Schlagzeilen. 2011 gab es zahlreiche Vorfälle, bei denen die Firma, die inzwischen die weltgrößte Zertifizierungsstelle ist, Unberechtigten Zertifikate ausgab. Zuletzt war Comodo auch im Zusammenhang mit der Software Privdog in den Negativschlagzeilen. Allerdings scheint es so, dass im aktuellen Fall Comodo keine Schuld trifft. Vielmehr liegt der Fehler alleine bei Microsoft.

Nachtrag vom 19. März 2015, 9:58 Uhr

Ursprünglich hatten wir geschrieben, dass das entsprechende Zertifikat über die Mailadresse admin@live.fi registriert worden sei. Einem Bericht der Webseite Tivi.fi zufolge, die mit dem Zertifikatsaussteller gesprochen hat, handelte es sich jedoch um die Adresse hostmaster@live.fi.


eye home zur Startseite
SoniX 18. Mär 2015

Ja, ich meinte sowas wie deine angesprochene "Baseline" Verschlüsselung für den...

negecy 17. Mär 2015

Korrekt, daher nicht DANE versus(!) PKIX sondern PKIX mit(!) DANE, dann wird ein Schuh draus.

RipClaw 17. Mär 2015

Klar kannst du via SQL Injection bei einem CMS die Datei simulieren oder aber wenn du...



Anzeige

Stellenmarkt
  1. German RepRap GmbH, Feldkirchen bei München
  2. Daimler AG, Ludwigsfelde
  3. Zurich Gruppe Deutschland, Bonn
  4. Daimler AG, Düsseldorf


Anzeige
Hardware-Angebote
  1. und 19 % Cashback bekommen
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  2. Final Fantasy 15

    Square Enix will die Story patchen

  3. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  4. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  5. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  6. Weltraumroboter

    Ein R2D2 für Satelliten

  7. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  8. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  9. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  10. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

  1. Re: Nicht kooperativ

    watwerbisdudenn | 19:24

  2. Re: In vielen Ländern Europas ist der...

    robinx999 | 19:23

  3. Urheberrecht in jetziger Form ist Schwachsinn

    jeckoBecko | 19:22

  4. Re: In Berlin nicht

    schily | 19:22

  5. Re: Die sollten noch mehr Gebühren nehmen

    subjord | 19:18


  1. 18:47

  2. 17:47

  3. 17:34

  4. 17:04

  5. 16:33

  6. 16:10

  7. 15:54

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel