Abo
  • Services:
Anzeige
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.
Von Hanno Böck

This text is also available in English.

Anzeige

Das von Google entwickelte System Certificate Transparency ist inzwischen zu einem wichtigen Teil des TLS-Ökosystems geworden. In öffentlichen und kryptographisch verifizierbaren Logs werden Webseitenzertifikate gespeichert und können von jedem dort eingesehen werden. Das hat viel zur Aufklärung von Vorfällen wie den falsch ausgestellten Zertifikaten von Symantec beigetragen.

Doch Certificate Transparency hat auch Auswirkungen, die bislang kaum bedacht wurden. Die Zertifikate enthalten Informationen, die aus vielerlei Hinsicht interessant sein können - auch für Angreifer.

Hostnamen lassen sich nicht mehr geheim halten

Ein Webseitenzertifikat enthält üblicherweise einen Hostnamen. Damit kann es Aufschluss über Subdomains geben. So kann man beispielsweise die Certificate-Transparency-Suchmaschine crt.sh nutzen, um nach Subdomains einer Domain zu suchen. Hilfreich, wenn man beispielsweise nach allen Subdomains einer Firma suchen möchte, um sie nach Sicherheitslücken abzuklappern.

Ganz praktisch heißt das, dass Subdomains in aller Regel nicht mehr geheim sind - mit der Ausnahme von Wildcard-Zertifikaten oder wenn man die umstrittene Möglichkeit von Redacted-Labels in Certificate Transparency nutzt.

Interne Services unter nicht zu erratenden, "geheimen" Subdomains zu betreiben, war zwar schon immer eine schlechte Idee, da Subdomains immer unverschlüsselt im Datenverkehr mitgelesen werden können, aber durch Certificate Transparency wird das noch mal verdeutlicht.

Manche Zertifizierungsstellen tragen schon heute alle Zertifikate automatisch in öffentliche Logs ein. Symantec wurde von Google nach den ersten größeren Sicherheitsvorfällen 2015 dazu gezwungen. Sogenannte Extended-Validation-Zertifikate müssen sowieso in Logs eingetragen werden. Let's Encrypt trägt ebenso wie Cloudflare freiwillig alle ausgestellten Zertifikate in Logs ein.

Doch auch, wer nicht selbst loggt, findet üblicherweise seine Zertifikate schnell in den Logs wieder, denn der Crawler der Google-Suchmaschine trägt Zertifikate automatisch dort ein.

Bald werden sowieso alle Zertifikate geloggt. Ursprünglich hatten die Chrome-Entwickler angekündigt, das ab September zu verlangen, inzwischen die Deadline aber auf April 2018 verschoben. In der Praxis landen aber schon heute sehr viele Zertifikate schnell in Logs.

Webanwendungen mit ungesicherten Installationsroutinen 

eye home zur Startseite
RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...

User_x 29. Jul 2017

und solange nix passiert, kräht auch kein hahn danach. mein vermieter ist kein...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, München
  2. Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Robert Bosch GmbH, Hildesheim
  4. MVV EnergySolutions GmbH, Mannheim


Anzeige
Spiele-Angebote
  1. 16,99€
  2. 7,99€

Folgen Sie uns
       


  1. Bixby 2.0

    Samsung will Sprachassistenten auf viel mehr Geräte bringen

  2. FAA

    CNN-Drohne darf über Menschen fliegen

  3. Nintendo Switch

    Firmware 4.0 bietet Videoaufnahmen mit Einschränkungen

  4. UE Blast und Megablast

    Alexa-Lautsprecher sind wasserfest und haben einen Akku

  5. TPCast im Hands on

    Überzeugende drahtlose Virtuelle Realität

  6. Separate Cloud-Version

    Lightroom nur noch als Abo erhältlich

  7. 360 Round

    Samsungs 360-Grad-Kamera hat 17 Objektive

  8. X299E-ITX/ac

    Asrock quetscht Sockel 2066 auf Mini-ITX-Board

  9. Alternativer Antrieb

    Toyota zeigt Brennstoffzellenauto und Bus

  10. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Re: Manipulation a'la Hearthstone lässt grüßen

    ancient | 11:14

  2. Re: Sie können es versuchen

    dabbes | 11:13

  3. Re: Mehr Firmwares als Spiele

    trust | 11:12

  4. Re: Und ich kriege noch nicht einmal die...

    RichardEb | 11:12

  5. Bixby, übertrage den Film vom Smartphone auf das...

    dabbes | 11:12


  1. 10:40

  2. 10:23

  3. 10:09

  4. 09:01

  5. 08:00

  6. 07:52

  7. 07:33

  8. 07:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel