Abo
  • Services:
Anzeige
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt: Kostenlose Zertifikate angeblich auch für Malware

Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.

Das Unternehmen Trend Micro berichtet, dass Let's Encrypt nun auch von sogenannten Malvertisern genutzt werde, die Schadsoftware über eine Einbettung in Werbeformate verteilen. Der Anti-Viren-Hersteller Trend Micro agiert auch als Certificate Authority (CA) und meint darüber hinaus, dieses Potenzial zum Missbrauch von Let's Encrypt habe es schon immer gegeben.

Anzeige

Denn der kostenlose Dienst von Let's Encrypt zum Ausstellen von TLS-Zertifikaten für Webseiten überprüfe nur, ob der Antragsteller des Zertifikats die Kontrolle über die Domain besitzt, für die das Zertifikat ausgestellt werden soll. Eine weitergehende Identitätsprüfung wie bei den kommerziellen CAs finde nicht statt.

Den Ausführungen von Trend Micro zufolge haben sich Angreifer nun ein Zertifikat für die Subdomain zu einer legitimen Domain erstellt. Sie haben die Kontrolle über ad.$hostname.com erhalten, den darüber laufenden Traffic mit Hilfe des Zertifikats von Let's Encrypt verschlüsselt und anschließend in die ausgelieferte Werbung Malware eingebettet.

Let's Encrypt ist nicht das Problem

Diese Argumentation, welche Let's Encrypt nicht gerade in ein gutes Licht rückt, kritisiert der Google-Angestellte Ryan Hurst in seinem privaten Blog. Dort heißt es, dass Trend Micro wissentlich oder unwissentlich wichtige Details dieses Vorfalls falsch darstelle.

Immerhin sei der beschriebene Angriff nicht allein bei Let's Encrypt möglich, sondern sei in der Vergangenheit auch bei vielen anderen CAs aufgetreten, was Trend Micro allerdings nicht erwähnt. Außerdem sei der Angriff nicht wegen der TLS-Verschlüsselung möglich, sondern weil die Angreifer die Kontrolle über eine fremde Domain übernehmen konnten. Der Angriff hätte also auch ganz ohne Zertifikat ausgeführt werden können.

Hurst nennt die Ausführungen von Trend Micro deshalb letztlich "fadenscheinig" und vermutet, dass der Bericht lediglich darauf abziele, das eigene kostenpflichtige Angebot gegenüber dem kostenlosen Dienst von Let's Encrypt abzugrenzen, wie dies bereits andere CAs getan hätten.


eye home zur Startseite
Anke 27. Jan 2016

Ich hatte gute Erfahrungen mit https://www.cheapsslshop.com/ Preiswert und kräftige...

SJ 08. Jan 2016

Was für nen Freifahrtschein denn?

negecy 07. Jan 2016

Das ist eben gerade *falsch*. Es gibt so genannte High Risk Domains und auch...

decaflon 07. Jan 2016

Das stimmt so nicht, mit einem Zertifikat wird nicht verschlüsselt, das geschieht mit...

pythoneer 07. Jan 2016

Warum soll das SnakeOil sein? Das ist so unsinnig als würde ich behaupten, dass...



Anzeige

Stellenmarkt
  1. P3 group GmbH, Stuttgart, Böblingen
  2. Joke Technology GmbH, Bergisch-Gladbach
  3. Fidor AG, München
  4. Daimler AG, Stuttgart


Anzeige
Hardware-Angebote
  1. 115,00€ - Bestpreis!
  2. 619,00€ + 3,99€ Versand (Vergleichspreis ab 664€)
  3. beim Kauf einer Geforce GTX 1070/1080

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

Ex-Verfassungsgerichtspräsident Papier: Die Politik stellt sich beim BND-Gesetz taub
Ex-Verfassungsgerichtspräsident Papier
Die Politik stellt sich beim BND-Gesetz taub
  1. NSA-Ausschuss SPD empört über "Schweigekartell" der US-Konzerne
  2. Reporter ohne Grenzen Klage gegen BND-Überwachung teilweise gescheitert
  3. Drohnenkrieg USA räumen Datenweiterleitung über Ramstein ein

Anet A6 im Test: Wenn ein 3D-Drucker so viel wie seine Teile kostet
Anet A6 im Test
Wenn ein 3D-Drucker so viel wie seine Teile kostet
  1. Bat Bot Die Fledermaus wird zum Roboter
  2. Kickstarter / NexD1 Betrugsvorwürfe gegen 3D-Drucker-Startup
  3. 3D-Druck Spanische Architekten drucken eine Brücke

  1. Re: "keine PCs im eigentlichen Sinne"

    eXXogene | 06:34

  2. Re: Ist die VDS nicht gekippt worden?

    Prinzeumel | 06:33

  3. Unart

    FranzBekker | 06:24

  4. Das was hier voellig irre ist ...

    flauschi123 | 06:12

  5. Re: Verzicht

    ThaKilla | 05:53


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel