Abo
  • Services:
Anzeige
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
Von Hanno Böck

Ein gängiges Feature vieler Netzwerk-basierter IT-Sicherheitslösungen ist es, mittels Man-in-the-Middle-Angriffen verschlüsselte HTTPS-Verbindungen mitzulesen. Inzwischen setzen immer mehr auf dem Client installierte Antiviren-Programme auf derartige Features, die unter Namen wie "SSL Inspection" angepriesen werden. In einer groß angelegten Untersuchung kamen jetzt Sicherheitsforscher und Mitarbeiter der Firmen Mozilla und Cloudflare zu dem Ergebnis, dass diese Produkte weit häufiger eingesetzt werden als bislang gedacht - und dass von ihnen enorme Risiken ausgehen.

Anzeige

Mehr Sicherheit durch Man-in-the-Middle-Angriffe?

Diese HTTPS-Interception-Produkte funktionieren nur, wenn ein Nutzer ein dafür vorgesehenes Root-Zertifikat in seinem Browser installiert. Sie erstellen dann automatisch für jede besuchte HTTPS-Webseite ein eigenes Zertifikat, das von diesem Root-Zertifikat signiert ist.

Die Gründe für derartige HTTPS-Interception sind vielfältig, am häufigsten wird sie jedoch von Sicherheitsprodukten eingesetzt. Aber auch Jugendschutzfilter, Software, die Werbebanner in Seiten einfügt, und Malware machen von derartigen Mechanismen Gebrauch.

Die Autoren einer kürzlich veröffentlichten Studie versuchten herauszufinden, wie verbreitet der Einsatz derartiger HTTPS-Interception-Produkte ist. Die Erkennung basierte dabei auf einer Heuristik. TLS-Implementierungen unterschieden sich in vielen Details: So gibt es zahlreiche optionale TLS-Erweiterungen und unzählige unterschiedliche Verschlüsselungsalgorithmen. Die TLS-Heartbeat-Erweiterung beispielsweise, die für den Heartbleed-Bug sorgte, wird von keinem Browser unterstützt. Wenn eine Verbindung mit dem User-Agent-Header eines Browsers erkannt wird, handelt es sich mit hoher Warscheinlichkeit um ein HTTPS-Interception-Produkt.

Die Autoren verweisen jedoch auch auf die Probleme dieser Messmethode. So ist es beispielsweise völlig problemlos möglich, einen falschen User-Agent-String zu schicken. Insbesondere bei den von Cloudflare gesammelten Daten gehen die Autoren von vielen möglichen Fehlerquellen aus.

Bis zu zehn Prozent der Verbindungen betroffen 

eye home zur Startseite
FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla



Anzeige

Stellenmarkt
  1. TUI Group Services GmbH, Hannover
  2. Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  3. Nash Technologies Stuttgart GmbH, Stuttgart
  4. f.u.n.k.e. MITTELSTANDS GmbH, Engen, Freiburg im Breisgau, Hamburg, Hannover


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. 264€ + 5,99€ Versand

Folgen Sie uns
       


  1. Tencent

    Lego will mit Tencent in China digital expandieren

  2. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  3. Matthias Maurer

    Ein Astronaut taucht unter

  4. Luftfahrt

    Boeing entwickelt Hyperschall-Spionageflugzeug

  5. Alexa-Gerät

    Echo Spot mit Display kommt für 130 Euro

  6. P Smart

    Huawei stellt Dual-Kamera-Smartphone für 260 Euro vor

  7. Fortnite

    574 Milliarden Schüsse und 40 Millionen Spieler

  8. Ericsson

    Datenvolumen am Smartphone wird nicht ausgenutzt

  9. Sieben Touchscreens

    Nissan Xmotion verwendet Koi als virtuellen Assistenten

  10. Intellimouse Classic

    Microsofts beliebte Maus kehrt zurück



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform
  3. Breitbandausbau Oettinger bedauert Privatisierung der Telekom

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  1. Mit O2 Free ist das zumindest bei mir...

    David64Bit | 12:53

  2. Re: Das darf zum trend werden bitte mit der...

    Cerb | 12:52

  3. Re: Und jetzt bitte noch

    maverick1977 | 12:52

  4. Re: Tank

    M.P. | 12:51

  5. Re: Muss jetzt jeder Youtube-Channel eine Lizenz...

    krakos | 12:50


  1. 12:45

  2. 12:30

  3. 12:02

  4. 11:16

  5. 10:59

  6. 10:49

  7. 10:34

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel