Abo
  • Services:

HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

Artikel veröffentlicht am ,
Das US-Cert warnt davor, HTTPS aufzumachen.
Das US-Cert warnt davor, HTTPS aufzumachen. (Bild: Rock1997/CC-BY-SA 4.0)

Das US-Cert warnt in einer aktuellen Mitteilung vor HTTPS-Interception-Geräten. Diese werden vor allem in Unternehmensnetzwerken eingesetzt und sollen eine Analyse des verschlüsselten Traffics durch Virenscanner und andere sogenannte Sicherheitssoftwares ermöglichen. Solche Man-In-The-Middle-Angriffe auf die Verschlüsselung bringen allerdings Sicherheitsprobleme mit sich.

Stellenmarkt
  1. Consors Finanz, München
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Das Computer-Emergency-Response-Team kritisiert, dass der Einsatz entsprechender Geräte potenzielle Sicherheitsgefahren für die Nutzer in den dahinterliegenden Netzwerken mit sich bringt, insbesondere weil der Vorgang für die Nutzer meist nicht transparent dargestellt werde. So könne es zum Beispiel sein, dass ein MITM-Gerät unsichere Cipher mit einem TLS-fähigen Server aushandele, ohne dass der Nutzer davon etwas mitbekommt.

Zertifikatskette wird nur unzureichend geprüft

Außerdem würde die Zertifikatskette durch die Geräte oft nur unvollständig geprüft, was weitere Man-In-The-Middle-Angriffe durch andere Akteure ermöglichen könnte. Das Cert beruft sich außerdem auf eine kürzlich veröffentlichte Studie, deren Autoren unter anderem kritisiert hatten, dass keines der untersuchten Geräte zusätzliche Sicherheitsfeatures wie HTTP Public Key Pinning, Certificate Transparency und OCSP-Stapling unterstütze.

Das Cert fordert Unternehmen auf, die genutzten Geräte zu testen und etwa über die Seite Badssl.com nach veralteten Ciphern und anderen Schwachstellen zu suchen.

Tatsächlich kommen in vielen Unternehmen veraltete Geräte zum Einsatz. Die Ausmusterung von SHA-1 Zertifikaten in Firefox musste zum Beispiel verschoben werden, weil zahlreiche MITM-Proxys in Unternehmen den geöffneten Traffic mit diesen Zertifikaten wieder verschlüsseln, um ihn dann an die Nutzer weiterzuleiten. SHA-1 gilt nicht erst seit dem erfolgreichen Kollisionsangriff als unsicher und sollte nicht mehr verwendet werden.



Anzeige
Spiele-Angebote
  1. (-78%) 8,99€
  2. 54,99€ mit Vorbesteller-Preisgarantie
  3. (-20%) 47,99€

Neuro-Chef 26. Mär 2017

Wenn ihr eh nicht vom Fach seid und das daher nicht sofort aus dem Kontext heraus...

Neuro-Chef 26. Mär 2017

Das ist eine Meinung und kein Fakt. OK, aber was hat das Scannen von E-Mails jetzt mit...

schap23 22. Mär 2017

Das eine hat nur wenig mit dem anderen zu tun. Hier geht es darum, daß der Browser das...


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /