Abo
  • Services:
Anzeige
Das US-Cert warnt davor, HTTPS aufzumachen.
Das US-Cert warnt davor, HTTPS aufzumachen. (Bild: Rock1997/CC-BY-SA 4.0)

HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

Das US-Cert warnt davor, HTTPS aufzumachen.
Das US-Cert warnt davor, HTTPS aufzumachen. (Bild: Rock1997/CC-BY-SA 4.0)

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

Das US-Cert warnt in einer aktuellen Mitteilung vor HTTPS-Interception-Geräten. Diese werden vor allem in Unternehmensnetzwerken eingesetzt und sollen eine Analyse des verschlüsselten Traffics durch Virenscanner und andere sogenannte Sicherheitssoftwares ermöglichen. Solche Man-In-The-Middle-Angriffe auf die Verschlüsselung bringen allerdings Sicherheitsprobleme mit sich.

Anzeige

Das Computer-Emergency-Response-Team kritisiert, dass der Einsatz entsprechender Geräte potenzielle Sicherheitsgefahren für die Nutzer in den dahinterliegenden Netzwerken mit sich bringt, insbesondere weil der Vorgang für die Nutzer meist nicht transparent dargestellt werde. So könne es zum Beispiel sein, dass ein MITM-Gerät unsichere Cipher mit einem TLS-fähigen Server aushandele, ohne dass der Nutzer davon etwas mitbekommt.

Zertifikatskette wird nur unzureichend geprüft

Außerdem würde die Zertifikatskette durch die Geräte oft nur unvollständig geprüft, was weitere Man-In-The-Middle-Angriffe durch andere Akteure ermöglichen könnte. Das Cert beruft sich außerdem auf eine kürzlich veröffentlichte Studie, deren Autoren unter anderem kritisiert hatten, dass keines der untersuchten Geräte zusätzliche Sicherheitsfeatures wie HTTP Public Key Pinning, Certificate Transparency und OCSP-Stapling unterstütze.

Das Cert fordert Unternehmen auf, die genutzten Geräte zu testen und etwa über die Seite Badssl.com nach veralteten Ciphern und anderen Schwachstellen zu suchen.

Tatsächlich kommen in vielen Unternehmen veraltete Geräte zum Einsatz. Die Ausmusterung von SHA-1 Zertifikaten in Firefox musste zum Beispiel verschoben werden, weil zahlreiche MITM-Proxys in Unternehmen den geöffneten Traffic mit diesen Zertifikaten wieder verschlüsseln, um ihn dann an die Nutzer weiterzuleiten. SHA-1 gilt nicht erst seit dem erfolgreichen Kollisionsangriff als unsicher und sollte nicht mehr verwendet werden.


eye home zur Startseite
Neuro-Chef 26. Mär 2017

Wenn ihr eh nicht vom Fach seid und das daher nicht sofort aus dem Kontext heraus...

Neuro-Chef 26. Mär 2017

Das ist eine Meinung und kein Fakt. OK, aber was hat das Scannen von E-Mails jetzt mit...

schap23 22. Mär 2017

Das eine hat nur wenig mit dem anderen zu tun. Hier geht es darum, daß der Browser das...



Anzeige

Stellenmarkt
  1. PFLITSCH GmbH & Co. KG, Hückeswagen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Schober Information Group Deutschland GmbH, Ditzingen/ Stuttgart
  4. SSI Schäfer IT Solutions GmbH, Giebelstadt, Dortmund, Walldorf


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. auf Kameras und Objektive
  3. ab 799,90€

Folgen Sie uns
       


  1. Essential Phone

    Android-Gründer zeigt eigenes Smartphone

  2. Kaby Lake Refresh

    Intels 8th Gen legt über 30 Prozent zu

  3. Colossal Cave

    Finalversion von erstem Textadventure ist Open Source

  4. TVS-882ST3

    QNAP stellt hochpreisiges NAS mit 2,5-Zoll Schächten vor

  5. Asus Zenbook Flip S im Hands On

    Schön leicht für ein Umklapp-Tablet

  6. Project Zero

    Windows-Virenschutz hat erneut kritische Schwachstellen

  7. GPS Share

    Gnome-Anwendung teilt GPS-Daten im LAN

  8. Net-Based LAN Services

    T-Systems bietet WLAN as a Service ab Juni

  9. Angacom

    Unitymedia verlangt nach einem deutschen Hulu

  10. XYZprinting Nobel 1.0a im Test

    Wie aus einem Guss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Asus B9440 im Test Leichtes Geschäftsnotebook liefert zu wenig Business

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

  1. Re: Was Hans schon nicht kann...

    Peter Brülls | 15:03

  2. Re: Das wird kaum was...

    mcnesium | 15:03

  3. Colossal Cave: PDP-10-Quellen

    tux. | 15:00

  4. Re: 20kW Leistung... was ein Witz sowas überhaupt...

    Hugo21 | 14:56

  5. Re: immerhin sie merken was abgeht

    tingelchen | 14:53


  1. 15:07

  2. 14:39

  3. 14:20

  4. 14:08

  5. 14:00

  6. 13:56

  7. 13:09

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel