Abo
  • Services:
Anzeige
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

.onion-Domains: Falsches Zertifikat für Tor-Facebook

Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

Anzeige

Seit einigen Tagen ist Facebook offiziell auch im Tor-Netzwerk verfügbar. Facebook hat sich für seinen Tor-Auftritt ein TLS-Zertifikat für eine sogenannte .onion-Adresse ausstellen lassen, um auch über Tor via HTTPS erreichbar zu sein. Doch die Ausstellung von Zertifikaten für derartige Domains wirft interessante Fragen auf.

Dem IT-Sicherheitsexperten Ian Carroll gelang es, sich für die Facebook-URL selbst ein gültiges Zertifikat ausstellen zu lassen. Ausgestellt wurde es von der Zertifizierungsstelle Globalsign. Das offizielle Zertifikat für Facebook stammt von Digicert. Der Grund ist einfach: Bislang erlauben Zertifizierungsstellen die Ausstellung von Zertifikaten für interne Domains in privaten Netzwerken. Und als interne Domain gelten alle Domainnamen, die keine offizielle Endung wie .de, .com oder .org haben.

Keine Prüfung interner Domainnamen

Die Praxis der Zertifikatsausstellung für interne Domains ist umstritten und das CA/Browser-Forum plant die Abschaffung solcher Zertifikate bis 2016. Doch zur Zeit ist es noch ohne jede Prüfung möglich, für inoffizielle Domainnamen Zertifikate zu beantragen. Im Tor-Netzwerk kommen Adressen mit der Endung .onion zum Einsatz, allerdings ist .onion keine offizielle Domainendung. Somit galt sie im Prüfsystem von Globalsign als interne Domainendung, und Carroll konnte hierfür einen beliebigen Domainnamen registrieren. Somit erhielt er ein gültiges Zertifikat für facebookcorewwwi.onion.

Globalsign hat inzwischen Carrolls Zertifikat zurückgezogen. Doch bekanntlich nützt das Zurückziehen von Zertifikaten wenig, da es von praktisch allen Browsern nur in unsicherer Weise implementiert ist. Auch der Tor-Browser macht da keine Ausnahme, er nutzt das OCSP-Protokoll nur im sogenannten Soft-Fail-Modus.

Laut Carroll ergibt der Einsatz von HTTPS unter diesen Umständen im Tor-Netzwerk keinen Sinn. Die Echtheit der Verbindung wird allerdings bereits über das Tor-Netzwerk selbst garantiert, falls die URL korrekt ist. Carroll empfiehlt den Zertifizierungsstellen, generelle Richtlinien für die Vergabe von Zertifikaten für .onion-Adressen zu erstellen. Bis dahin sollten keine weiteren derartigen Zertifikate mehr ausgestellt werden.


eye home zur Startseite
FedoraUser 07. Nov 2014

- Wenn du Zugriff auf meinen Router hast ist auch schon alles was Netzwerk betrifft...

Niantic 06. Nov 2014

Nein. Weder das eine noch das andere stimmt. Du kannst schon eigene Daten auf Tor nutzen...



Anzeige

Stellenmarkt
  1. TUI Cruises GmbH, Hamburg
  2. über Gfeller Consulting & Partner AG, Region Schaffhausen (Schweiz)
  3. Kommunales Rechenzentrum Niederrhein, Kamp-Lintfort
  4. Regierungspräsidium Freiburg, Freiburg


Anzeige
Top-Angebote
  1. (50% Rabatt!)
  2. 219,00€ (Bestpreis!)
  3. (u. a. Gear VR 66,00€, Gear S3 277,00€)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Immer noch zu wenige Dienste per IPv6 erreichbar

    Hakuro | 22:42

  2. Re: Gibt es noch Menschen die Analog schauen

    Reddead | 22:40

  3. Re: ... Kabel Deutschland schon heute ausschlie...

    GenXRoad | 22:33

  4. Re: "Hass im Netz" klingt nach Zensur für mich

    bombinho | 22:32

  5. Re: Störende Kabel?

    Daemoneyes | 22:31


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel