• IT-Karriere:
  • Services:

Microsoft, DHL und Volksbanken betroffen

Der Hintergrund für die Ausstellung dieser problematischen Zwischenzertifikate ist offenbar ein bestimmtes Verhalten einer Microsoft-Software zur Verwaltung von Zertifizierungsstellen. Das geht aus einem älteren Mailthread hervor, in dem allerdings auch eine alternative Möglichkeit beschrieben wird, dieses Problem zu lösen, die ohne ein solches Sicherheitsrisiko auskommt.

Stellenmarkt
  1. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  2. Compador Dienstleistungs GmbH, Berlin

Insgesamt betroffen sind fast 300 Zwischenzertifikate, von denen allerdings mehr als die Hälfte bereits zurückgezogen wurde. Doch die übrigen sind teilweise breit im Einsatz. Wir haben einen Scan durchgeführt, um zu testen, welche Webseiten davon betroffen sind. Bei einem Test der Alexa-Top-1-Million-Liste nutzten etwa 0,3 Prozent der Webseiten Zertifikate, die von den problematischen Zwischenzertifikaten ausgestellt wurden. Das Shellskript, das wir zum Testen verwendet haben, haben wir auf Github veröffentlicht.

Eine Reihe der betroffenen Zwischenzertifikate gehört Microsoft und die Firma setzt diese auch für ihre eigenen Webseiten ein, etwa für die Domains microsoft.com, bing.com und msn.com. Im deutschsprachigen Raum sind unter anderem die Webseiten von DHL und der Deutschen Post betroffen. Die Deutsche Post DHL Group besitzt ein eigenes TLS-Zwischenzertifikat, das von der Zertifizierungsstelle Globalsign ausgestellt wurde. Auch zahlreiche Webseiten von Volksbanken sind betroffen, diese nutzen ein Zwischenzertifikat der Firma Quovadis.

Änderungsfrist beträgt sieben Tage - theoretisch

Die fehlerhaften Zwischenzertifikate müssten sehr zeitnah zurückgezogen werden, genaugenommen sieben Tage, nachdem das Problem an die jeweils verantwortlichen Zertifizierungsstellen gemeldet wurde. Doch das dürfte nicht passieren. Bekannt ist das Problem seit dem 1. Juli, damit wäre die Frist bereits am 8. Juli, also morgen, abgelaufen.

Es war in der Vergangenheit schon häufiger so, dass in Fällen, in denen eine große Anzahl von Webseitenzertifikaten von einem derartigen Problem betroffen ist, diese Fristen nicht hart eingehalten wurden. Das wird gemeinhin auch akzeptiert und führt, wenn es gute Gründe dafür gibt, nicht zu weiteren Maßnahmen gegen die betroffenen Zertifizierungsstellen.

Beispielsweise hätte Let's Encrypt im März streng genommen mehrere Millionen Zertifikate aufgrund eines Fehlers bei der CAA-Prüfung zurückziehen müssen, entschied sich aber dagegen. Auch bei einem Vorfall 2019, in dem eine ganze Reihe von Zertifizierungsstellen Millionen von Zertifikaten mit Seriennummern mit zu wenig Entropie ausgestellt hatten, hat man nicht streng auf die Fristen gepocht.

Doch auch wenn die harte Frist von sieben Tagen vermutlich nicht eingehalten wird: Die entsprechenden Zwischenzertifikate müssen mittelfristig zurückgezogen werden und betroffene Webseiten, deren Zertifikate von diesen ausgestellt wurden, müssen diese so schnell wie möglich ersetzen. Neben dem von uns bereitgestellten Skript kann man auch mit dem TLS Certificate Health Checker der Firma Oh Dear prüfen, ob Zertifikate betroffen sind. Auch das Tool Hardenize führt einen entsprechenden Check durch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-82%) 3,50€
  2. 22,99€
  3. 29,99€

phade 08. Jul 2020 / Themenstart

Das Problem mit den public-private-keys bei https-Verbindungen ist also einfach zu lösen...

Kommentieren


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
Coronavirus und Karaoke: Gesang mit Klang trotz Gesichtsvorhang
Coronavirus und Karaoke
Gesang mit Klang trotz Gesichtsvorhang

Karaokebars sind gefährliche Coronavirus-Infektionsherde. Damit den Menschen in Japan nicht ihr Hobby genommen wird, gibt es nun ein System, das auch mit Mundschutz gute Sounds produzieren soll.
Ein Bericht von Felix Lill

  1. Corona Gewerkschaft sieht Schulen schlecht digital ausgestattet
  2. Corona Telekom und SAP sollen europaweite Warn-Plattform bauen
  3. Universal Kinofilme kommen früher ins Netz

Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
Pixel 4a im Test
Google macht das Pixel kleiner und noch günstiger

Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
Ein Test von Tobias Költzsch

  1. Smartphone Google stellt das Pixel 4 ein
  2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
  3. Google Internes Dokument weist auf faltbares Pixel hin

PB60: Adminpasswort auf Asus-Rechnern wirkungslos
PB60
Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

  1. Vivobook Flip 14 Asus-Convertible verwendet AMD Renoir ab 600 US-Dollar
  2. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
  3. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer

    •  /