• IT-Karriere:
  • Services:

Unentdeckter Angriff fast unmöglich

Sollte ein Angreifer versuchen, unberechtigterweise ein Zertifikat auszustellen und dabei unentdeckt bleiben, sind die Hürden mit Certificate Transparency deutlich größer als bisher. Der Angreifer müsste zunächst die volle Kontrolle über den Zertifikatsausstellung erlangen. Eine Sicherheitslücke, die ihm nur erlaubt, ein Zertifikat für eine fremde Domain auszustellen, würde möglicherweise weiterhin zu einem Logvorgang führen und das Zertifikat wäre öffentlich einsehbar. Weiterhin muss der Angreifer verhindern, dass der Browser des Opfers mit den Logs kommuniziert und die Gültigkeit der SCTs prüft.

Stellenmarkt
  1. Stadt Lauf a.d.Pegnitz, Lauf a.d.Pegnitz bei Nürnberg
  2. Hochschule für Technik Stuttgart, Stuttgart

Selbst für diesen Fall hat Certificate Transparency ein Konzept vorgesehen, das eine Aufdeckung des Angriffs ermöglichen soll: Das sogenannte Gossip-Protokoll. Ein Browser, der die Logs gerade nicht erreichen kann, soll diesen Vorfall über möglichst viele verschiedene Kanäle verbreiten. Das könnten etwa Verbindungen zu anderen Webseiten sein. Um das Gossip-Protokoll gab es bereits viele Diskussionen, die Details sind noch nicht ausgearbeitet. Bislang existiert es nur als Entwurf.

Domainnamen sind öffentlich

Ein wichtiger Aspekt von Certificate Transparency ist, dass künftig alle Zertifikate samt Inhalt öffentlich sind. Das dürfte überwiegend Vorteile haben, aber es kann auch zu unerwünschten Nebeneffekten führen. Ein Webseitenbetreiber könnte etwa auf die Idee kommen, Inhalte unter einer geheimen Subdomain abzulegen. Wird für diese Subdomain ein Zertifikat ausgestellt, dann ist die Subdomain automatisch nicht mehr geheim. Ein ähnliches Problem könnte auftreten, wenn jemand eine Domain neu registriert und davon ausgeht, dass diese bisher niemandem bekannt ist und dort eine vorläufige, nicht für die Öffentlichkeit gedachte Webseite liegt.

Bereits jetzt könnte es zu derartigen Missverständnissen kommen. So beantragen viele Provider inzwischen automatisch Zertifikate über Let's Encrypt - und Let's Encrypt hat von Anfang an alle Zertifikate in öffentliche Logs eingetragen.

Eine Möglichkeit, die bei Subdomains Abhilfe schafft, sind Wildcard-Zertifikate. So kann ein Domaininhaber ein Zertifikat für *.example.org ausstellen lassen. Wildcard-Zertifikate sind üblicherweise deutlich teurer. Es gibt bislang keinen Anbieter, der diese kostenlos ausstellt.

Certificate Transparency sieht auch vor, dass Zertifikate geloggt werden, bei denen ein Teil des Domainnamens nicht sichtbar ist, sogenannte Redacted Certificates. Das geloggte Zertifikat würde dann einen Eintrag der Form ?.example.org enthalten, während das echte Zertifikat die korrekte Subdomain enthält. Dieses Feature wurde auf Wunsch vieler Zertifizierungsstellen eingeführt. Allerdings konnte man sich bisher nicht über eine genaue Vorgehensweise einigen, so dass Chrome diese Redacted Certificates bislang nicht akzeptiert. Trotzdem hatte Symantec bereits entsprechende Zertifikate an Kunden verkauft, was zu unerwarteten Fehlermeldungen führte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nichts unter den Tisch kehrenFazit: ein großer Schritt für mehr Sicherheit bei TLS 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (u. a. Death Stranding für 39,99€, Bloodstained: Ritual of the Night für 17,99€, Journey to...
  2. 32,99€
  3. 19,49€
  4. 59,99€

My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

Anonymer Nutzer 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...


Folgen Sie uns
       


Verkehrswende: Zaubertechnologie statt Citybahn
Verkehrswende
Zaubertechnologie statt Citybahn

In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
Eine Recherche von Hanno Böck

  1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
  2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?

Probefahrt mit Citroën Ami: Das Palindrom auf vier Rädern
Probefahrt mit Citroën Ami
Das Palindrom auf vier Rädern

Wie fährt sich ein Elektroauto, das von vorne und hinten gleich aussieht und nur 7.000 Euro kostet?
Ein Hands-on von Friedhelm Greis

  1. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
  2. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
  3. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

    •  /