Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Die kostenlose Zertifizierungsstelle Wosign hatte offenbar mehrere Sicherheitslücken, die die unberechtigte Ausstellung von Zertifikaten ermöglichten. Unter anderem gelang es einem Systemadministrator, ein Zertifikat für github.io auszustellen, eine Ausstellung für github.com wäre ebenfalls möglich gewesen. Ein weiteres Zertifikat wurde für die Domain cloudapp.net von Microsoft ausgestellt.

Anzeige

Mozilla-Entwickler Gervase Markham schickte vor einigen Tagen einen Bericht über eine ganze Reihe von Vorfällen an die Security-Policy-Mailingliste von Mozilla.

Validierung für Subdomain ermöglicht Zertifikatsausstellung für Hauptdomain

Ein Systemadministrator an der University of Central Florida (UCF), Stephen Schrauger, versuchte im Juni 2015 versehentlich, ein Zertifikat für die Hauptdomain der Universität - www.ucf.edu - auszustellen. Eigentlich wollte er nur ein Zertifikat für Subdomains der medizinischen Fakultät - med.ucf.edu - beantragen. Für diese Subdomain hatte er den Domainvalidierungsprozess durchgeführt. Doch zu seiner Überraschung war es ihm trotzdem möglich, ein Zertifikat für die Universitätsdomain zu bekommen.

Diese Sicherheitslücke ließ sich auch bei Github ausnutzen. Nutzer können dort Subdomains unter der Domain github.io anlegen. Früher war es auch möglich, Subdomains unter github.com anzulegen - dort bereits bestehende Domains können weiterhin genutzt werden. Neue User können derartige Subdomains jedoch nicht mehr anlegen. Mittels einer solche Subdomain gelang es Schrauger, ein gültiges Zertifikat für github.io zu beantragen.

Schrauger war sich zunächst unsicher, wen er über diese Lücke informieren sollte. Nach einem Telefongespräch mit dem IT-Sicherheitsexperten Dan Kaminsky meldete Schrauger die Lücke an Wosign. Letztendlich wendete er sich an das Bug-Bounty-Programm von Github, Github informierte daraufhin Google und später auch Mozilla.

Laut Wosigns CEO Richard Wang waren von dieser Sicherheitslücke insgesamt 33 Zertifikate betroffen. Kritik gab es zunächst daran, dass Wang erklärte, die Zertifikate könnten nur revoked werden, wenn dies von den Kunden gewünscht wird. Später erklärte Wang jedoch, dass nun alle betroffenen Zertifikate zurückgezogen wurden.

Domainvalidierung über unpriviligierte Ports

Eine weitere Lücke bot im April 2015 offenbar die Möglichkeit, bei der Domainvalidierung unpriviligierte Ports zu nutzen. Eine der Methoden, mit denen Zertifizierungsstellen den Besitzer einer Domain prüfen, ist das Ablegen einer Datei mit einem Code auf dem HTTP-Server. Die Zertifizierungsstelle gibt dabei die URL und den Code vor. Bei Wosign war es möglich, den HTTP-Server auf einem Port mit einer hohen Portnummer zu betreiben. Ports kleiner als 1.024 lassen sich üblicherweise nur mit Root- oder Administratorrechten öffnen, auf höheren Ports kann jedoch auch ein normaler Useraccount einen Service betreiben. Somit konnte ein unpriviligierter Nutzer, der einen Account auf einem System besitzt, auf das eine Domain verweist, für diese Domain ein Zertifikat erzeugen. Laut Wang wurden 72 Zertifikate mit diesem Mechanismus ausgestellt.

Ein Problem in diesem Fall ist, dass zu dem Zeitpunkt die Richtlinien für Zertifizierungsstellen, die sogenannten Baseline Requirements, diese Praxis nicht eindeutig untersagten. Erst der Anfang August verabschiedete Ballot 169 klärt diese Frage eindeutig und verbietet die Nutzung unpriviligierter Portnummern.

Gehört Startcom jetzt Wosign? 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. Swyx Solutions AG, Dortmund
  2. Robert Bosch Power Tools GmbH, Leinfelden-Echterdingen
  3. NÜRNBERGER Lebensversicherung AG, Nürnberg
  4. SportScheck GmbH, Unterhaching


Anzeige
Spiele-Angebote
  1. 29,99€
  2. (-85%) 5,99€
  3. 16,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Angebliche Backdoor

    Kryptographen kritisieren Whatsapp-Bericht des Guardian

  2. Hyperloop

    Nur der Beste kommt in die Röhre

  3. HPE

    Unternehmen weltweit verfehlen IT-Sicherheitsziele

  4. Youtube

    360-Grad-Videos über Playstation VR verfügbar

  5. Online-Einkauf

    Amazon startet virtuelle Dash-Buttons

  6. US-Präsident

    Zuck it, Trump!

  7. Agent 47

    Der Hitman unterstützt bald HDR

  8. Mietwochen

    Media Markt vermietet Elektrogeräte ab einem Monat Laufzeit

  9. Nintendo

    Vorerst keine Videostreaming-Apps auf Switch

  10. Illegales Streaming

    Kinox.to nutzt gleichen Google-Trick wie Porno-Hoster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Smartphones Textnachricht legt iPhone zeitweise lahm
  2. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Welch Idiotie

    Earan | 13:08

  2. Re: Test

    Tantalus | 13:07

  3. Re: Eine andere Zielgruppe bleibt wohl kaum noch...

    FreiGeistler | 13:06

  4. Re: Auflösung

    Riff Raff | 13:06

  5. Re: Das wird aber schwer...

    datenmuell | 13:05


  1. 12:45

  2. 12:03

  3. 11:52

  4. 11:34

  5. 11:19

  6. 11:03

  7. 10:41

  8. 10:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel