Abo
  • Services:
Anzeige
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt: Kostenlose Zertifikate angeblich auch für Malware

Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.

Das Unternehmen Trend Micro berichtet, dass Let's Encrypt nun auch von sogenannten Malvertisern genutzt werde, die Schadsoftware über eine Einbettung in Werbeformate verteilen. Der Anti-Viren-Hersteller Trend Micro agiert auch als Certificate Authority (CA) und meint darüber hinaus, dieses Potenzial zum Missbrauch von Let's Encrypt habe es schon immer gegeben.

Anzeige

Denn der kostenlose Dienst von Let's Encrypt zum Ausstellen von TLS-Zertifikaten für Webseiten überprüfe nur, ob der Antragsteller des Zertifikats die Kontrolle über die Domain besitzt, für die das Zertifikat ausgestellt werden soll. Eine weitergehende Identitätsprüfung wie bei den kommerziellen CAs finde nicht statt.

Den Ausführungen von Trend Micro zufolge haben sich Angreifer nun ein Zertifikat für die Subdomain zu einer legitimen Domain erstellt. Sie haben die Kontrolle über ad.$hostname.com erhalten, den darüber laufenden Traffic mit Hilfe des Zertifikats von Let's Encrypt verschlüsselt und anschließend in die ausgelieferte Werbung Malware eingebettet.

Let's Encrypt ist nicht das Problem

Diese Argumentation, welche Let's Encrypt nicht gerade in ein gutes Licht rückt, kritisiert der Google-Angestellte Ryan Hurst in seinem privaten Blog. Dort heißt es, dass Trend Micro wissentlich oder unwissentlich wichtige Details dieses Vorfalls falsch darstelle.

Immerhin sei der beschriebene Angriff nicht allein bei Let's Encrypt möglich, sondern sei in der Vergangenheit auch bei vielen anderen CAs aufgetreten, was Trend Micro allerdings nicht erwähnt. Außerdem sei der Angriff nicht wegen der TLS-Verschlüsselung möglich, sondern weil die Angreifer die Kontrolle über eine fremde Domain übernehmen konnten. Der Angriff hätte also auch ganz ohne Zertifikat ausgeführt werden können.

Hurst nennt die Ausführungen von Trend Micro deshalb letztlich "fadenscheinig" und vermutet, dass der Bericht lediglich darauf abziele, das eigene kostenpflichtige Angebot gegenüber dem kostenlosen Dienst von Let's Encrypt abzugrenzen, wie dies bereits andere CAs getan hätten.


eye home zur Startseite
Anke 27. Jan 2016

Ich hatte gute Erfahrungen mit https://www.cheapsslshop.com/ Preiswert und kräftige...

SJ 08. Jan 2016

Was für nen Freifahrtschein denn?

negecy 07. Jan 2016

Das ist eben gerade *falsch*. Es gibt so genannte High Risk Domains und auch...

decaflon 07. Jan 2016

Das stimmt so nicht, mit einem Zertifikat wird nicht verschlüsselt, das geschieht mit...

pythoneer 07. Jan 2016

Warum soll das SnakeOil sein? Das ist so unsinnig als würde ich behaupten, dass...



Anzeige

Stellenmarkt
  1. PTV Group, Karlsruhe
  2. OMICRON electronics GmbH, Klaus (Österreich)
  3. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  4. Württembergische Versicherung AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 8,49€
  2. 8,99€
  3. 9,99€

Folgen Sie uns
       


  1. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  2. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  3. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  4. Elektromobilität

    In Norwegen fehlen Ladesäulen

  5. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  6. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  7. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  8. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  9. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  10. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Leia RED verrät Details zum Holo-Display seines Smartphones
  2. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht
  3. Wavy Klarna-App bietet kostenlose Überweisungen zwischen Freunden

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

  1. Re: Wenn das Marketingabteilung mal wieder...

    Proctrap | 17:17

  2. Re: Und das erfreut wohl die meisten Nutzer. Echt...

    DeathMD | 17:16

  3. Re: Patch? Sorry, aber das ist ein simples...

    Slartie | 17:15

  4. Widerspruch in den Aussagen

    Eheran | 17:13

  5. Re: Skandinavien ohne Tourismus

    LASERwalker | 17:12


  1. 17:01

  2. 16:46

  3. 16:41

  4. 16:28

  5. 16:11

  6. 16:02

  7. 15:50

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel