Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.

Artikel von Hanno Böck veröffentlicht am
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

This text is also available in English.

Inhalt:
  1. Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind
  2. Webanwendungen mit ungesicherten Installationsroutinen
  3. Nur Joomla hat bisher reagiert

Das von Google entwickelte System Certificate Transparency ist inzwischen zu einem wichtigen Teil des TLS-Ökosystems geworden. In öffentlichen und kryptographisch verifizierbaren Logs werden Webseitenzertifikate gespeichert und können von jedem dort eingesehen werden. Das hat viel zur Aufklärung von Vorfällen wie den falsch ausgestellten Zertifikaten von Symantec beigetragen.

Doch Certificate Transparency hat auch Auswirkungen, die bislang kaum bedacht wurden. Die Zertifikate enthalten Informationen, die aus vielerlei Hinsicht interessant sein können - auch für Angreifer.

Hostnamen lassen sich nicht mehr geheim halten

Ein Webseitenzertifikat enthält üblicherweise einen Hostnamen. Damit kann es Aufschluss über Subdomains geben. So kann man beispielsweise die Certificate-Transparency-Suchmaschine crt.sh nutzen, um nach Subdomains einer Domain zu suchen. Hilfreich, wenn man beispielsweise nach allen Subdomains einer Firma suchen möchte, um sie nach Sicherheitslücken abzuklappern.

Stellenmarkt
  1. IT-Mitarbeiterin/IT-Mitarbei- ter für das Servicedesk und die Anwenderschulung (m/w/d)
    Bundeskriminalamt, Wiesbaden, Meckenheim
  2. Senior Systemadministrator (m/w/d)
    ENERTRAG Aktiengesellschaft, Dauerthal
Detailsuche

Ganz praktisch heißt das, dass Subdomains in aller Regel nicht mehr geheim sind - mit der Ausnahme von Wildcard-Zertifikaten oder wenn man die umstrittene Möglichkeit von Redacted-Labels in Certificate Transparency nutzt.

Interne Services unter nicht zu erratenden, "geheimen" Subdomains zu betreiben, war zwar schon immer eine schlechte Idee, da Subdomains immer unverschlüsselt im Datenverkehr mitgelesen werden können, aber durch Certificate Transparency wird das noch mal verdeutlicht.

Manche Zertifizierungsstellen tragen schon heute alle Zertifikate automatisch in öffentliche Logs ein. Symantec wurde von Google nach den ersten größeren Sicherheitsvorfällen 2015 dazu gezwungen. Sogenannte Extended-Validation-Zertifikate müssen sowieso in Logs eingetragen werden. Let's Encrypt trägt ebenso wie Cloudflare freiwillig alle ausgestellten Zertifikate in Logs ein.

Doch auch, wer nicht selbst loggt, findet üblicherweise seine Zertifikate schnell in den Logs wieder, denn der Crawler der Google-Suchmaschine trägt Zertifikate automatisch dort ein.

Bald werden sowieso alle Zertifikate geloggt. Ursprünglich hatten die Chrome-Entwickler angekündigt, das ab September zu verlangen, inzwischen die Deadline aber auf April 2018 verschoben. In der Praxis landen aber schon heute sehr viele Zertifikate schnell in Logs.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webanwendungen mit ungesicherten Installationsroutinen 
  1. 1
  2. 2
  3. 3
  4.  


RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...

User_x 29. Jul 2017

und solange nix passiert, kräht auch kein hahn danach. mein vermieter ist kein...



Aktuell auf der Startseite von Golem.de
Thinkpad E14 Gen3 im Test
Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis

Schon das Thinkpad E14 Gen2 war exzellent, bei der Gen3 aber hat Lenovo die zwei Schwachstellen - Akku und Display - behoben. Bravo!
Ein Test von Marc Sauter

Thinkpad E14 Gen3 im Test: Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis
Artikel
  1. Manifest v3: Google setzt Enddatum für alte Chrome-Erweiterungen
    Manifest v3
    Google setzt Enddatum für alte Chrome-Erweiterungen

    Die neue Erweiterungsschnittstelle Manifest v3 in Chrome könnte Adblocker erschweren. Ab Januar 2023 muss die Technik genutzt werden.

  2. Eine dritte Hand für Netzwerkadministratoren
     
    Eine dritte Hand für Netzwerkadministratoren

    Die Aufgaben von Systemadministratoren werden immer komplexer und vielfältiger. Unterstützung bietet jetzt das Wiener Start-up PATCHBOX mit dem selbst entwickelten Installations-Tool Setup.exe.
    Sponsored Post von Patchbox

  3. Science-Fiction der Neunziger: Babylon 5 wird neu aufgelegt
    Science-Fiction der Neunziger
    Babylon 5 wird neu aufgelegt

    Die Science-Fiction-Serie Babylon 5 soll neu aufgelegt werden. Ein wichtiger Drehbuchautor des Originals ist mit dabei.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop/PC kaufen, kostenloses Upgrade auf Windows 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Alternate (u. a. Asus TUF 23,8" FHD 165Hz 179,90€) • Nur noch heute PS5-Gewinnspiel bei Amazon • 7 Tage Samsung-Angebote [Werbung]
    •  /