Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Die kostenlose Zertifizierungsstelle Wosign hatte offenbar mehrere Sicherheitslücken, die die unberechtigte Ausstellung von Zertifikaten ermöglichten. Unter anderem gelang es einem Systemadministrator, ein Zertifikat für github.io auszustellen, eine Ausstellung für github.com wäre ebenfalls möglich gewesen. Ein weiteres Zertifikat wurde für die Domain cloudapp.net von Microsoft ausgestellt.

Anzeige

Mozilla-Entwickler Gervase Markham schickte vor einigen Tagen einen Bericht über eine ganze Reihe von Vorfällen an die Security-Policy-Mailingliste von Mozilla.

Validierung für Subdomain ermöglicht Zertifikatsausstellung für Hauptdomain

Ein Systemadministrator an der University of Central Florida (UCF), Stephen Schrauger, versuchte im Juni 2015 versehentlich, ein Zertifikat für die Hauptdomain der Universität - www.ucf.edu - auszustellen. Eigentlich wollte er nur ein Zertifikat für Subdomains der medizinischen Fakultät - med.ucf.edu - beantragen. Für diese Subdomain hatte er den Domainvalidierungsprozess durchgeführt. Doch zu seiner Überraschung war es ihm trotzdem möglich, ein Zertifikat für die Universitätsdomain zu bekommen.

Diese Sicherheitslücke ließ sich auch bei Github ausnutzen. Nutzer können dort Subdomains unter der Domain github.io anlegen. Früher war es auch möglich, Subdomains unter github.com anzulegen - dort bereits bestehende Domains können weiterhin genutzt werden. Neue User können derartige Subdomains jedoch nicht mehr anlegen. Mittels einer solche Subdomain gelang es Schrauger, ein gültiges Zertifikat für github.io zu beantragen.

Schrauger war sich zunächst unsicher, wen er über diese Lücke informieren sollte. Nach einem Telefongespräch mit dem IT-Sicherheitsexperten Dan Kaminsky meldete Schrauger die Lücke an Wosign. Letztendlich wendete er sich an das Bug-Bounty-Programm von Github, Github informierte daraufhin Google und später auch Mozilla.

Laut Wosigns CEO Richard Wang waren von dieser Sicherheitslücke insgesamt 33 Zertifikate betroffen. Kritik gab es zunächst daran, dass Wang erklärte, die Zertifikate könnten nur revoked werden, wenn dies von den Kunden gewünscht wird. Später erklärte Wang jedoch, dass nun alle betroffenen Zertifikate zurückgezogen wurden.

Domainvalidierung über unpriviligierte Ports

Eine weitere Lücke bot im April 2015 offenbar die Möglichkeit, bei der Domainvalidierung unpriviligierte Ports zu nutzen. Eine der Methoden, mit denen Zertifizierungsstellen den Besitzer einer Domain prüfen, ist das Ablegen einer Datei mit einem Code auf dem HTTP-Server. Die Zertifizierungsstelle gibt dabei die URL und den Code vor. Bei Wosign war es möglich, den HTTP-Server auf einem Port mit einer hohen Portnummer zu betreiben. Ports kleiner als 1.024 lassen sich üblicherweise nur mit Root- oder Administratorrechten öffnen, auf höheren Ports kann jedoch auch ein normaler Useraccount einen Service betreiben. Somit konnte ein unpriviligierter Nutzer, der einen Account auf einem System besitzt, auf das eine Domain verweist, für diese Domain ein Zertifikat erzeugen. Laut Wang wurden 72 Zertifikate mit diesem Mechanismus ausgestellt.

Ein Problem in diesem Fall ist, dass zu dem Zeitpunkt die Richtlinien für Zertifizierungsstellen, die sogenannten Baseline Requirements, diese Praxis nicht eindeutig untersagten. Erst der Anfang August verabschiedete Ballot 169 klärt diese Frage eindeutig und verbietet die Nutzung unpriviligierter Portnummern.

Gehört Startcom jetzt Wosign? 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...

Kommentieren



Anzeige

Stellenmarkt
  1. über MEDICI & SPRECHER AG, Hamburg
  2. über Robert Half Technology, Stuttgart
  3. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  4. über Robert Half Technology, Berlin


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. 94,90€ statt 109,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Besuch bei Dedrone

    Keine Chance für unerwünschte Flugobjekte

  2. In the Robot Skies

    Drohnen drehen einen Science-Fiction-Film

  3. Corelink CMN-600

    ARMs Interconnect macht 128 Kern-Chips möglich

  4. Systemüberwachung

    Facebook veröffentlicht Osquery für Windows

  5. Onlinehandel

    Bundesweite Streiks bei Amazon und Prime Instant Video

  6. Soziale Netzwerke

    Wie ich einen Betrüger aufspürte und seine Mama kontaktierte

  7. Modulare Geräte

    Phonebloks will nicht aufgeben

  8. Smart Lock

    Amazon will den Schlüssel zur Haustür

  9. Propilot Chair

    Nissan entwickelt autonomen Stuhl für Warteschlangen

  10. Tradfri

    Smarte Beleuchtung von Ikea



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Re: Warum gibt es kein N-Gigabit?

    Lukas.F | 12:00

  2. Re: Betrug... bitte was?

    Hazamel | 11:59

  3. Ernsthaft?

    RTC | 11:58

  4. Re: It Experte vs Kiddy

    ThommyWausE | 11:58

  5. Wirklich merkwürdig, ...

    Knoblauchzehe | 11:56


  1. 12:02

  2. 11:49

  3. 11:12

  4. 10:30

  5. 10:23

  6. 09:05

  7. 08:52

  8. 08:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel