• IT-Karriere:
  • Services:

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

Artikel veröffentlicht am , Hanno Böck
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Vor einigen Tagen wurde bekannt, dass für die finnische Microsoft-Domain live.fi fälschlicherweise ein Zertifikat bei der Zertifizierungsstelle Comodo ausgestellt wurde. Details, die jetzt bekanntwurden, zeigen, dass Microsoft das Problem offenbar über Wochen ignoriert hatte. Das alleine ist schon schlimm genug, dazu kommt nun jedoch, dass Microsoft in einem ähnlich gelagerten Fall in Belgien offenbar über Jahre hinweg nicht reagiert hatte.

Hostmaster-Adresse muss für User gesperrt sein

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. Deutsche Rentenversicherung Bund, Berlin

Ein Unbekannter, der sich gegenüber der finnischen Webseite Tivi.fi geäußert hat, konnte sich in seinem Microsoft-Account den Alias hostmaster@live.fi für seine Mailadresse anlegen. Das Problem dabei: Derartige M-Mail-Adressen werden von Zertifizierungsstellen genutzt, um die Besitzer von Domainnamen zu prüfen. Eine entsprechende Richtlinie, die sogenannten Baseline Requirements des CA/Browser-Forums, legt fest, welche Adressen für ein derartiges Verfahren geeignet sind. Microsoft selbst ist Mitglied im CA/Browser-Forum und hat an der Richtlinie mitgewirkt.

Laut Tivi.fi hatte der Unbekannte bereits im Januar den Vorfall an finnische Behörden und gleichzeitig an mehrere Kontaktadressen bei Microsoft gemeldet. Über mehrere Wochen erhielt er jedoch keine Antwort darauf. Am Dienstag dann meldete Microsoft den Vorfall in einem Advisory und sperrte gleichzeitig den Account des Betroffenen.

Vier Jahre im Besitz von administrator@live.be

Doch Microsoft wusste offenbar schon seit vielen Jahren, dass sich derartige administrative Mailadressen bei den Live-Diensten registrieren lassen. Der Webseite Ars Technica berichtet der Belgier Laurens Vets, dass er bereits 2010 die Mailadressen abuse@live.be, admin@live.be und administrator@live.be registriert hat. Mit zwei dieser Adressen hätte Vets ebenfalls nach Belieben TLS-Zertifikate registrieren können, in diesem Fall für die belgische Version des Live-Services. Auch Vets hatte den Vorfall an Microsoft gemeldet und im November 2010 eine Bestätigung erhalten, dass das Problem an die verantwortlichen Stellen weitergeleitet wurde. Vets kann anscheinend bis heute auf diese Mailadressen zugreifen.

Im Zusammenhang mit der Ausstellung von erschlichenen TLS-Zertifikaten wird gern auf die Mängel des Zertifikatssystems verwiesen, die zweifelsohne vorhanden sind. In diesem Fall scheint es sich allerdings vor allem um ein Problem bei Microsoft zu handeln. Offenbar ist man dort nicht in der Lage, auf Berichte über Sicherheitsvorfälle zeitnah zu reagieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. AMD Ryzen Threadripper 2920X für 399€ inkl. Versand)
  2. (u. a. Samsung Galaxy S10 128 GB für 555€ statt 599€ im Vergleich und Sony Xperia 10 21:9 64...
  3. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  4. 159€ (neuer Tiefpreis)

Proctrap 19. Mär 2015

Heh es ist noch nicht einmal Fr. Aber trotzdem danke für die Lacher :) P.S.: Fehler...

__destruct() 19. Mär 2015

Wie bitte? Wie kann es denn noch mehr an einem Unternehmen liegen, dass ein Zertifikat...

jg (Golem.de) 19. Mär 2015

Danke für den Hinweis, wir haben das in beiden Meldungen zu dem Thema geändert! Gruß, Juliane

GeeGee 19. Mär 2015

na jetzt aber mal die Fakten auf den Tisch


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

    •  /