Abo
  • Services:
Anzeige
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt: Kostenlose Zertifikate angeblich auch für Malware

Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.

Das Unternehmen Trend Micro berichtet, dass Let's Encrypt nun auch von sogenannten Malvertisern genutzt werde, die Schadsoftware über eine Einbettung in Werbeformate verteilen. Der Anti-Viren-Hersteller Trend Micro agiert auch als Certificate Authority (CA) und meint darüber hinaus, dieses Potenzial zum Missbrauch von Let's Encrypt habe es schon immer gegeben.

Anzeige

Denn der kostenlose Dienst von Let's Encrypt zum Ausstellen von TLS-Zertifikaten für Webseiten überprüfe nur, ob der Antragsteller des Zertifikats die Kontrolle über die Domain besitzt, für die das Zertifikat ausgestellt werden soll. Eine weitergehende Identitätsprüfung wie bei den kommerziellen CAs finde nicht statt.

Den Ausführungen von Trend Micro zufolge haben sich Angreifer nun ein Zertifikat für die Subdomain zu einer legitimen Domain erstellt. Sie haben die Kontrolle über ad.$hostname.com erhalten, den darüber laufenden Traffic mit Hilfe des Zertifikats von Let's Encrypt verschlüsselt und anschließend in die ausgelieferte Werbung Malware eingebettet.

Let's Encrypt ist nicht das Problem

Diese Argumentation, welche Let's Encrypt nicht gerade in ein gutes Licht rückt, kritisiert der Google-Angestellte Ryan Hurst in seinem privaten Blog. Dort heißt es, dass Trend Micro wissentlich oder unwissentlich wichtige Details dieses Vorfalls falsch darstelle.

Immerhin sei der beschriebene Angriff nicht allein bei Let's Encrypt möglich, sondern sei in der Vergangenheit auch bei vielen anderen CAs aufgetreten, was Trend Micro allerdings nicht erwähnt. Außerdem sei der Angriff nicht wegen der TLS-Verschlüsselung möglich, sondern weil die Angreifer die Kontrolle über eine fremde Domain übernehmen konnten. Der Angriff hätte also auch ganz ohne Zertifikat ausgeführt werden können.

Hurst nennt die Ausführungen von Trend Micro deshalb letztlich "fadenscheinig" und vermutet, dass der Bericht lediglich darauf abziele, das eigene kostenpflichtige Angebot gegenüber dem kostenlosen Dienst von Let's Encrypt abzugrenzen, wie dies bereits andere CAs getan hätten.


eye home zur Startseite
Anke 27. Jan 2016

Ich hatte gute Erfahrungen mit https://www.cheapsslshop.com/ Preiswert und kräftige...

SJ 08. Jan 2016

Was für nen Freifahrtschein denn?

negecy 07. Jan 2016

Das ist eben gerade *falsch*. Es gibt so genannte High Risk Domains und auch...

decaflon 07. Jan 2016

Das stimmt so nicht, mit einem Zertifikat wird nicht verschlüsselt, das geschieht mit...

pythoneer 07. Jan 2016

Warum soll das SnakeOil sein? Das ist so unsinnig als würde ich behaupten, dass...



Anzeige

Stellenmarkt
  1. OSRAM GmbH, Garching bei München
  2. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  3. Rohde & Schwarz Cybersecurity GmbH, Leipzig
  4. HDPnet GmbH, Heidelberg


Anzeige
Top-Angebote
  1. 485,00€ (Vergleichspreis 529€)
  2. 11,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. 299,00€

Folgen Sie uns
       


  1. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  2. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  3. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  4. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  5. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  6. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  7. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  8. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  9. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  10. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Warum überhaupt VLC nutzen

    __destruct() | 13:05

  2. Re: Wieso könnten Händler-Shops überhaupt...

    mikeone | 12:59

  3. Re: 300¤

    plutoniumsulfat | 12:58

  4. Re: OT Kreditkarte kostenlos und kostenlose...

    mikeone | 12:52

  5. Re: Ich benutze nur SubRip-Untertitel (.srt) ...

    derats | 12:51


  1. 10:10

  2. 09:59

  3. 09:00

  4. 18:58

  5. 18:20

  6. 17:59

  7. 17:44

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel