Abo
  • Services:

HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

Artikel veröffentlicht am ,
Das US-Cert warnt davor, HTTPS aufzumachen.
Das US-Cert warnt davor, HTTPS aufzumachen. (Bild: Rock1997/CC-BY-SA 4.0)

Das US-Cert warnt in einer aktuellen Mitteilung vor HTTPS-Interception-Geräten. Diese werden vor allem in Unternehmensnetzwerken eingesetzt und sollen eine Analyse des verschlüsselten Traffics durch Virenscanner und andere sogenannte Sicherheitssoftwares ermöglichen. Solche Man-In-The-Middle-Angriffe auf die Verschlüsselung bringen allerdings Sicherheitsprobleme mit sich.

Stellenmarkt
  1. DIEBOLD NIXDORF, Paderborn
  2. BGV / Badische Versicherungen, Karlsruhe

Das Computer-Emergency-Response-Team kritisiert, dass der Einsatz entsprechender Geräte potenzielle Sicherheitsgefahren für die Nutzer in den dahinterliegenden Netzwerken mit sich bringt, insbesondere weil der Vorgang für die Nutzer meist nicht transparent dargestellt werde. So könne es zum Beispiel sein, dass ein MITM-Gerät unsichere Cipher mit einem TLS-fähigen Server aushandele, ohne dass der Nutzer davon etwas mitbekommt.

Zertifikatskette wird nur unzureichend geprüft

Außerdem würde die Zertifikatskette durch die Geräte oft nur unvollständig geprüft, was weitere Man-In-The-Middle-Angriffe durch andere Akteure ermöglichen könnte. Das Cert beruft sich außerdem auf eine kürzlich veröffentlichte Studie, deren Autoren unter anderem kritisiert hatten, dass keines der untersuchten Geräte zusätzliche Sicherheitsfeatures wie HTTP Public Key Pinning, Certificate Transparency und OCSP-Stapling unterstütze.

Das Cert fordert Unternehmen auf, die genutzten Geräte zu testen und etwa über die Seite Badssl.com nach veralteten Ciphern und anderen Schwachstellen zu suchen.

Tatsächlich kommen in vielen Unternehmen veraltete Geräte zum Einsatz. Die Ausmusterung von SHA-1 Zertifikaten in Firefox musste zum Beispiel verschoben werden, weil zahlreiche MITM-Proxys in Unternehmen den geöffneten Traffic mit diesen Zertifikaten wieder verschlüsseln, um ihn dann an die Nutzer weiterzuleiten. SHA-1 gilt nicht erst seit dem erfolgreichen Kollisionsangriff als unsicher und sollte nicht mehr verwendet werden.



Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 111€
  4. 55,11€ (Bestpreis!)

Neuro-Chef 26. Mär 2017

Wenn ihr eh nicht vom Fach seid und das daher nicht sofort aus dem Kontext heraus...

Neuro-Chef 26. Mär 2017

Das ist eine Meinung und kein Fakt. OK, aber was hat das Scannen von E-Mails jetzt mit...

schap23 22. Mär 2017

Das eine hat nur wenig mit dem anderen zu tun. Hier geht es darum, daß der Browser das...


Folgen Sie uns
       


Hyundai Ioniq - Test

Wir sind den elektrisch angetriebenen Hyundai Ioniq ausgiebig Probe gefahren.

Hyundai Ioniq - Test Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

    •  /