• IT-Karriere:
  • Services:

HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.

Artikel von veröffentlicht am
Für viele Webseiten heißt es: Zertifikate tauschen.
Für viele Webseiten heißt es: Zertifikate tauschen. (Bild: Satdeep Gill, Wikimedia Commons/CC-BY-SA 4.0)

Eine große Zahl von TLS-Zwischenzertifikaten wurde fehlerhaft ausgestellt. Die betroffenen Zwischenzertifikate können nicht nur zur Ausstellung von anderen Zertifikaten genutzt werden, sondern auch OCSP-Antworten ausstellen. OCSP ist ein System, mit dem die Gültigkeit von Zertifikaten geprüft werden kann.

Inhalt:
  1. HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
  2. Microsoft, DHL und Volksbanken betroffen

Bei TLS-Zertifikaten signieren die Zertifizierungsstellen üblicherweise nicht direkt. Stattdessen wird mit dem Root-Zertifikat zunächst ein Zwischenzertifikat signiert, das dann wiederum die eigentlichen Zertifikate signiert, die etwa genutzt werden, um HTTPS-Verbindungen abzusichern. Eine ganze Reihe dieser Zwischenzertifikate sind aber fehlerhaft, da sie neben der Berechtigung zur Zertifikatsausstellung auch ein Flag enthalten, das ihnen erlaubt, OCSP-Antworten zu signieren.

Auf das Problem aufmerksam gemacht hatte der Google-Entwickler Ryan Sleevi. Die Zertifikate verstoßen gegen die sogenannten Baseline Requirements, ein Regelwerk, auf das sich Browser und Zertifizierungsstellen geeinigt haben.

Zwischenzertifikate können falsche OCSP-Antworten erstellen

Laut Sleevi sind die Zertifikate aber zudem ein Sicherheitsproblem. In vielen Fällen handelt es sich um Zwischenzertifikate, die nicht von der Zertifzierungsstelle selbst kontrolliert werden, sondern an Dritte weitergegeben wurden. Die Zertifikatsausstellung ist dabei teilweise eingeschränkt, so dass nur für bestimmte Hostnamen Zertifikate ausgestellt werden können. Aber die OCSP-Funktionalität der Zertifikate gilt unbegrenzt.

Stellenmarkt
  1. Technische Informationsbibliothek (TIB), Hannover
  2. Haufe Group, Bielefeld

Faktisch führt das dazu, dass die Inhaber der Zertifikate OCSP-Antworten fälschen können, und zwar für alle Zertifikate, die direkt oder indirekt von der betroffenen Root-Zertifizierungsstelle ausgestellt wurden.

OCSP ist ein System, mit dem Zertifizierungsstellen die Gültigkeit der von ihnen ausgestellten Zertifikate bestätigen. Damit kann ein Client bei einem Zertifikat prüfen, ob es noch gültig ist oder - beispielsweise wegen eines kompromittierten Schlüssels - zurückgezogen und als ungültig markiert wurde.

Zertifikate können sich selbst für gültig erklären

Ryan Sleevi weist noch auf ein weiteres Problem hin: Selbst wenn man jetzt diese fehlerhaften Zwischenzertifikate zurückzieht, hilft das nicht viel. Denn die betroffenen Zertifikate können nicht nur OCSP-Antworten für andere Zertifikate fälschen, sondern auch für sich selbst. Sleevi forderte die betroffenen Zertifizierungsstellen daher dazu auf, nicht nur die Zertifikate zurückzuziehen, sondern auch die dazugehörigen privaten Schlüssel zu vernichten und die Vernichtung zu dokumentieren.

Auch wenn der Vorfall für einige Aufregung sorgen dürfte: Das praktische Risiko hält sich in Grenzen. Das liegt vor allem daran, dass OCSP-Prüfungen meist sowieso nicht stattfinden. Das Protokoll hat eine Reihe von Problemen, was dazu geführt hat, dass einige Browser wie etwa der Marktführer Chrome es überhaupt nicht implementieren und andere es nur in einem Soft-Fail-Modus nutzen, in dem OCSP zwar geprüft wird, bei einem Verbindungsfehler das Zertifikat aber trotzdem als gültig anerkannt wird.

Die Tatsache, dass OCSP in der Praxis kaum funktioniert, ist einer der Gründe, warum Browser darauf drängen, die Laufzeit von Zertifikaten stärker zu begrenzen. In Kürze werden alle großen Browser neue Zertifikate nur noch mit einer Laufzeit von etwas mehr als einem Jahr akzeptieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft, DHL und Volksbanken betroffen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 154,99€ (Vergleichspreis 185€)
  2. (u. a. Horizon: Zero Dawn - Complete Edition (PC) für 38,99€, Wreckfest für 12,99€, Sekiro...
  3. (u. a. Sandisk Extreme PRO NVMe 3D SSD 1TB M.2 PCIe 3.0 für 145,90€ (mit Rabattcode...
  4. (u. a. Edifier R1280DB PC-Lautsprecher für 99,90€, Acer X1626H DLP-Beamer für 449, Grundig VCH...

phade 08. Jul 2020 / Themenstart

Das Problem mit den public-private-keys bei https-Verbindungen ist also einfach zu lösen...

Kommentieren


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
    •  /