• IT-Karriere:
  • Services:

Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.

Artikel von Hanno Böck veröffentlicht am
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

This text is also available in English.

Inhalt:
  1. Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind
  2. Webanwendungen mit ungesicherten Installationsroutinen
  3. Nur Joomla hat bisher reagiert

Das von Google entwickelte System Certificate Transparency ist inzwischen zu einem wichtigen Teil des TLS-Ökosystems geworden. In öffentlichen und kryptographisch verifizierbaren Logs werden Webseitenzertifikate gespeichert und können von jedem dort eingesehen werden. Das hat viel zur Aufklärung von Vorfällen wie den falsch ausgestellten Zertifikaten von Symantec beigetragen.

Doch Certificate Transparency hat auch Auswirkungen, die bislang kaum bedacht wurden. Die Zertifikate enthalten Informationen, die aus vielerlei Hinsicht interessant sein können - auch für Angreifer.

Hostnamen lassen sich nicht mehr geheim halten

Ein Webseitenzertifikat enthält üblicherweise einen Hostnamen. Damit kann es Aufschluss über Subdomains geben. So kann man beispielsweise die Certificate-Transparency-Suchmaschine crt.sh nutzen, um nach Subdomains einer Domain zu suchen. Hilfreich, wenn man beispielsweise nach allen Subdomains einer Firma suchen möchte, um sie nach Sicherheitslücken abzuklappern.

Stellenmarkt
  1. HerkulesGroup Services GmbH, Meuselwitz, Siegen
  2. Hays AG, Ansbach

Ganz praktisch heißt das, dass Subdomains in aller Regel nicht mehr geheim sind - mit der Ausnahme von Wildcard-Zertifikaten oder wenn man die umstrittene Möglichkeit von Redacted-Labels in Certificate Transparency nutzt.

Interne Services unter nicht zu erratenden, "geheimen" Subdomains zu betreiben, war zwar schon immer eine schlechte Idee, da Subdomains immer unverschlüsselt im Datenverkehr mitgelesen werden können, aber durch Certificate Transparency wird das noch mal verdeutlicht.

Manche Zertifizierungsstellen tragen schon heute alle Zertifikate automatisch in öffentliche Logs ein. Symantec wurde von Google nach den ersten größeren Sicherheitsvorfällen 2015 dazu gezwungen. Sogenannte Extended-Validation-Zertifikate müssen sowieso in Logs eingetragen werden. Let's Encrypt trägt ebenso wie Cloudflare freiwillig alle ausgestellten Zertifikate in Logs ein.

Doch auch, wer nicht selbst loggt, findet üblicherweise seine Zertifikate schnell in den Logs wieder, denn der Crawler der Google-Suchmaschine trägt Zertifikate automatisch dort ein.

Bald werden sowieso alle Zertifikate geloggt. Ursprünglich hatten die Chrome-Entwickler angekündigt, das ab September zu verlangen, inzwischen die Deadline aber auf April 2018 verschoben. In der Praxis landen aber schon heute sehr viele Zertifikate schnell in Logs.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webanwendungen mit ungesicherten Installationsroutinen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. AMD Ryzen 7 5800X, Prozessor für 509€)
  2. (u. a. ZOTAC Gaming GeForce RTX 3060 Ti Twin Edge für 523,18€)
  3. (u. a. ZOTAC GAMING GEFORCE RTX 3060 TI TWIN EDGE 8GB GDDR6 für 411,56€)
  4. (u. a. PGA Tour 2K21 - Deluxe Edition [EU Key] für 26,99€, No Man's Sky für 14,99€)

RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...

User_x 29. Jul 2017

und solange nix passiert, kräht auch kein hahn danach. mein vermieter ist kein...


Folgen Sie uns
       


Linux unter Windows 10 installieren - Tutorial

Wir zeigen im Video, wie man in wenigen Minuten Linux unter Windows 10 zum Laufen bringt.

Linux unter Windows 10 installieren - Tutorial Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

    •  /