Abo
  • Services:
Anzeige
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

Anzeige

Vor einigen Tagen wurde bekannt, dass für die finnische Microsoft-Domain live.fi fälschlicherweise ein Zertifikat bei der Zertifizierungsstelle Comodo ausgestellt wurde. Details, die jetzt bekanntwurden, zeigen, dass Microsoft das Problem offenbar über Wochen ignoriert hatte. Das alleine ist schon schlimm genug, dazu kommt nun jedoch, dass Microsoft in einem ähnlich gelagerten Fall in Belgien offenbar über Jahre hinweg nicht reagiert hatte.

Hostmaster-Adresse muss für User gesperrt sein

Ein Unbekannter, der sich gegenüber der finnischen Webseite Tivi.fi geäußert hat, konnte sich in seinem Microsoft-Account den Alias hostmaster@live.fi für seine Mailadresse anlegen. Das Problem dabei: Derartige M-Mail-Adressen werden von Zertifizierungsstellen genutzt, um die Besitzer von Domainnamen zu prüfen. Eine entsprechende Richtlinie, die sogenannten Baseline Requirements des CA/Browser-Forums, legt fest, welche Adressen für ein derartiges Verfahren geeignet sind. Microsoft selbst ist Mitglied im CA/Browser-Forum und hat an der Richtlinie mitgewirkt.

Laut Tivi.fi hatte der Unbekannte bereits im Januar den Vorfall an finnische Behörden und gleichzeitig an mehrere Kontaktadressen bei Microsoft gemeldet. Über mehrere Wochen erhielt er jedoch keine Antwort darauf. Am Dienstag dann meldete Microsoft den Vorfall in einem Advisory und sperrte gleichzeitig den Account des Betroffenen.

Vier Jahre im Besitz von administrator@live.be

Doch Microsoft wusste offenbar schon seit vielen Jahren, dass sich derartige administrative Mailadressen bei den Live-Diensten registrieren lassen. Der Webseite Ars Technica berichtet der Belgier Laurens Vets, dass er bereits 2010 die Mailadressen abuse@live.be, admin@live.be und administrator@live.be registriert hat. Mit zwei dieser Adressen hätte Vets ebenfalls nach Belieben TLS-Zertifikate registrieren können, in diesem Fall für die belgische Version des Live-Services. Auch Vets hatte den Vorfall an Microsoft gemeldet und im November 2010 eine Bestätigung erhalten, dass das Problem an die verantwortlichen Stellen weitergeleitet wurde. Vets kann anscheinend bis heute auf diese Mailadressen zugreifen.

Im Zusammenhang mit der Ausstellung von erschlichenen TLS-Zertifikaten wird gern auf die Mängel des Zertifikatssystems verwiesen, die zweifelsohne vorhanden sind. In diesem Fall scheint es sich allerdings vor allem um ein Problem bei Microsoft zu handeln. Offenbar ist man dort nicht in der Lage, auf Berichte über Sicherheitsvorfälle zeitnah zu reagieren.


eye home zur Startseite
Proctrap 19. Mär 2015

Heh es ist noch nicht einmal Fr. Aber trotzdem danke für die Lacher :) P.S.: Fehler...

__destruct() 19. Mär 2015

Wie bitte? Wie kann es denn noch mehr an einem Unternehmen liegen, dass ein Zertifikat...

jg (Golem.de) 19. Mär 2015

Danke für den Hinweis, wir haben das in beiden Meldungen zu dem Thema geändert! Gruß, Juliane

GeeGee 19. Mär 2015

na jetzt aber mal die Fakten auf den Tisch



Anzeige

Stellenmarkt
  1. über Baumann Unternehmensberatung AG, Raum Dresden
  2. Vaisala GmbH, Hamburg, Bonn (Home-Office möglich)
  3. Robert Bosch GmbH, Plochingen
  4. Fresenius Kabi Deutschland GmbH, Oberursel


Anzeige
Hardware-Angebote
  1. (Core i7-7700HQ + GeForce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blizzard

    Starcraft Remastered erscheint im Sommer 2017

  2. Atom-Unfall

    WD erweitert Support für NAS mit Intels fehlerhaftem Atom

  3. SecurityWatchScam ID

    T-Mobile blockiert Spam-Anrufe

  4. AT&T

    USA bauen Millionen Glasfaserverbindungen

  5. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  6. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  7. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  8. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  9. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  10. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

  1. Re: Jetzt mal halblang!

    Mett | 06:15

  2. Re: Alternative

    Ferrum | 06:01

  3. Re: OT: Preisgestaltung im Kino

    Prinzeumel | 05:53

  4. Re: Endlich schluss mit Cam Rips...

    Prinzeumel | 05:50

  5. Re: Wenn schon remastered, dann bitte Command and...

    Mett | 05:48


  1. 19:03

  2. 14:32

  3. 14:16

  4. 13:00

  5. 15:20

  6. 14:13

  7. 12:52

  8. 12:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel