Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.

Artikel von Hanno Böck veröffentlicht am
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

This text is also available in English.

Inhalt:
  1. Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind
  2. Webanwendungen mit ungesicherten Installationsroutinen
  3. Nur Joomla hat bisher reagiert

Das von Google entwickelte System Certificate Transparency ist inzwischen zu einem wichtigen Teil des TLS-Ökosystems geworden. In öffentlichen und kryptographisch verifizierbaren Logs werden Webseitenzertifikate gespeichert und können von jedem dort eingesehen werden. Das hat viel zur Aufklärung von Vorfällen wie den falsch ausgestellten Zertifikaten von Symantec beigetragen.

Doch Certificate Transparency hat auch Auswirkungen, die bislang kaum bedacht wurden. Die Zertifikate enthalten Informationen, die aus vielerlei Hinsicht interessant sein können - auch für Angreifer.

Hostnamen lassen sich nicht mehr geheim halten

Ein Webseitenzertifikat enthält üblicherweise einen Hostnamen. Damit kann es Aufschluss über Subdomains geben. So kann man beispielsweise die Certificate-Transparency-Suchmaschine crt.sh nutzen, um nach Subdomains einer Domain zu suchen. Hilfreich, wenn man beispielsweise nach allen Subdomains einer Firma suchen möchte, um sie nach Sicherheitslücken abzuklappern.

Stellenmarkt
  1. Software Quality Assurance Engineer (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Solution Architect Enterprise Integration & API Platform (m/w / divers)
    Lufthansa Cargo AG, Frankfurt am Main
Detailsuche

Ganz praktisch heißt das, dass Subdomains in aller Regel nicht mehr geheim sind - mit der Ausnahme von Wildcard-Zertifikaten oder wenn man die umstrittene Möglichkeit von Redacted-Labels in Certificate Transparency nutzt.

Interne Services unter nicht zu erratenden, "geheimen" Subdomains zu betreiben, war zwar schon immer eine schlechte Idee, da Subdomains immer unverschlüsselt im Datenverkehr mitgelesen werden können, aber durch Certificate Transparency wird das noch mal verdeutlicht.

Manche Zertifizierungsstellen tragen schon heute alle Zertifikate automatisch in öffentliche Logs ein. Symantec wurde von Google nach den ersten größeren Sicherheitsvorfällen 2015 dazu gezwungen. Sogenannte Extended-Validation-Zertifikate müssen sowieso in Logs eingetragen werden. Let's Encrypt trägt ebenso wie Cloudflare freiwillig alle ausgestellten Zertifikate in Logs ein.

Doch auch, wer nicht selbst loggt, findet üblicherweise seine Zertifikate schnell in den Logs wieder, denn der Crawler der Google-Suchmaschine trägt Zertifikate automatisch dort ein.

Bald werden sowieso alle Zertifikate geloggt. Ursprünglich hatten die Chrome-Entwickler angekündigt, das ab September zu verlangen, inzwischen die Deadline aber auf April 2018 verschoben. In der Praxis landen aber schon heute sehr viele Zertifikate schnell in Logs.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webanwendungen mit ungesicherten Installationsroutinen 
  1. 1
  2. 2
  3. 3
  4.  


RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /