• IT-Karriere:
  • Services:

HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.

Artikel von veröffentlicht am
Für viele Webseiten heißt es: Zertifikate tauschen.
Für viele Webseiten heißt es: Zertifikate tauschen. (Bild: Satdeep Gill, Wikimedia Commons/CC-BY-SA 4.0)

Eine große Zahl von TLS-Zwischenzertifikaten wurde fehlerhaft ausgestellt. Die betroffenen Zwischenzertifikate können nicht nur zur Ausstellung von anderen Zertifikaten genutzt werden, sondern auch OCSP-Antworten ausstellen. OCSP ist ein System, mit dem die Gültigkeit von Zertifikaten geprüft werden kann.

Inhalt:
  1. HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
  2. Microsoft, DHL und Volksbanken betroffen

Bei TLS-Zertifikaten signieren die Zertifizierungsstellen üblicherweise nicht direkt. Stattdessen wird mit dem Root-Zertifikat zunächst ein Zwischenzertifikat signiert, das dann wiederum die eigentlichen Zertifikate signiert, die etwa genutzt werden, um HTTPS-Verbindungen abzusichern. Eine ganze Reihe dieser Zwischenzertifikate sind aber fehlerhaft, da sie neben der Berechtigung zur Zertifikatsausstellung auch ein Flag enthalten, das ihnen erlaubt, OCSP-Antworten zu signieren.

Auf das Problem aufmerksam gemacht hatte der Google-Entwickler Ryan Sleevi. Die Zertifikate verstoßen gegen die sogenannten Baseline Requirements, ein Regelwerk, auf das sich Browser und Zertifizierungsstellen geeinigt haben.

Zwischenzertifikate können falsche OCSP-Antworten erstellen

Laut Sleevi sind die Zertifikate aber zudem ein Sicherheitsproblem. In vielen Fällen handelt es sich um Zwischenzertifikate, die nicht von der Zertifzierungsstelle selbst kontrolliert werden, sondern an Dritte weitergegeben wurden. Die Zertifikatsausstellung ist dabei teilweise eingeschränkt, so dass nur für bestimmte Hostnamen Zertifikate ausgestellt werden können. Aber die OCSP-Funktionalität der Zertifikate gilt unbegrenzt.

Stellenmarkt
  1. Bad Homburger Inkasso GmbH, Bad Vilbel
  2. Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz

Faktisch führt das dazu, dass die Inhaber der Zertifikate OCSP-Antworten fälschen können, und zwar für alle Zertifikate, die direkt oder indirekt von der betroffenen Root-Zertifizierungsstelle ausgestellt wurden.

OCSP ist ein System, mit dem Zertifizierungsstellen die Gültigkeit der von ihnen ausgestellten Zertifikate bestätigen. Damit kann ein Client bei einem Zertifikat prüfen, ob es noch gültig ist oder - beispielsweise wegen eines kompromittierten Schlüssels - zurückgezogen und als ungültig markiert wurde.

Zertifikate können sich selbst für gültig erklären

Ryan Sleevi weist noch auf ein weiteres Problem hin: Selbst wenn man jetzt diese fehlerhaften Zwischenzertifikate zurückzieht, hilft das nicht viel. Denn die betroffenen Zertifikate können nicht nur OCSP-Antworten für andere Zertifikate fälschen, sondern auch für sich selbst. Sleevi forderte die betroffenen Zertifizierungsstellen daher dazu auf, nicht nur die Zertifikate zurückzuziehen, sondern auch die dazugehörigen privaten Schlüssel zu vernichten und die Vernichtung zu dokumentieren.

Auch wenn der Vorfall für einige Aufregung sorgen dürfte: Das praktische Risiko hält sich in Grenzen. Das liegt vor allem daran, dass OCSP-Prüfungen meist sowieso nicht stattfinden. Das Protokoll hat eine Reihe von Problemen, was dazu geführt hat, dass einige Browser wie etwa der Marktführer Chrome es überhaupt nicht implementieren und andere es nur in einem Soft-Fail-Modus nutzen, in dem OCSP zwar geprüft wird, bei einem Verbindungsfehler das Zertifikat aber trotzdem als gültig anerkannt wird.

Die Tatsache, dass OCSP in der Praxis kaum funktioniert, ist einer der Gründe, warum Browser darauf drängen, die Laufzeit von Zertifikaten stärker zu begrenzen. In Kürze werden alle großen Browser neue Zertifikate nur noch mit einer Laufzeit von etwas mehr als einem Jahr akzeptieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft, DHL und Volksbanken betroffen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 200,76€ (Bestpreis!)
  2. 78,96€ (Bestpreis!)
  3. (aktuell u. a. Tropico 6 für 23,99€, Human: Fall Flat für 4,99€, Dragon's Dogma: Dark Arisen...
  4. 91,65€ (mit Rabattcode "POWEREBAY10E" - Bestpreis!)

phade 08. Jul 2020 / Themenstart

Das Problem mit den public-private-keys bei https-Verbindungen ist also einfach zu lösen...

Kommentieren


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
    •  /