Abo
  • IT-Karriere:

.onion-Domains: Falsches Zertifikat für Tor-Facebook

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

Artikel veröffentlicht am , Hanno Böck
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

Seit einigen Tagen ist Facebook offiziell auch im Tor-Netzwerk verfügbar. Facebook hat sich für seinen Tor-Auftritt ein TLS-Zertifikat für eine sogenannte .onion-Adresse ausstellen lassen, um auch über Tor via HTTPS erreichbar zu sein. Doch die Ausstellung von Zertifikaten für derartige Domains wirft interessante Fragen auf.

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Beschaffungsamt des Bundesministeriums des Innern, Bonn

Dem IT-Sicherheitsexperten Ian Carroll gelang es, sich für die Facebook-URL selbst ein gültiges Zertifikat ausstellen zu lassen. Ausgestellt wurde es von der Zertifizierungsstelle Globalsign. Das offizielle Zertifikat für Facebook stammt von Digicert. Der Grund ist einfach: Bislang erlauben Zertifizierungsstellen die Ausstellung von Zertifikaten für interne Domains in privaten Netzwerken. Und als interne Domain gelten alle Domainnamen, die keine offizielle Endung wie .de, .com oder .org haben.

Keine Prüfung interner Domainnamen

Die Praxis der Zertifikatsausstellung für interne Domains ist umstritten und das CA/Browser-Forum plant die Abschaffung solcher Zertifikate bis 2016. Doch zur Zeit ist es noch ohne jede Prüfung möglich, für inoffizielle Domainnamen Zertifikate zu beantragen. Im Tor-Netzwerk kommen Adressen mit der Endung .onion zum Einsatz, allerdings ist .onion keine offizielle Domainendung. Somit galt sie im Prüfsystem von Globalsign als interne Domainendung, und Carroll konnte hierfür einen beliebigen Domainnamen registrieren. Somit erhielt er ein gültiges Zertifikat für facebookcorewwwi.onion.

Globalsign hat inzwischen Carrolls Zertifikat zurückgezogen. Doch bekanntlich nützt das Zurückziehen von Zertifikaten wenig, da es von praktisch allen Browsern nur in unsicherer Weise implementiert ist. Auch der Tor-Browser macht da keine Ausnahme, er nutzt das OCSP-Protokoll nur im sogenannten Soft-Fail-Modus.

Laut Carroll ergibt der Einsatz von HTTPS unter diesen Umständen im Tor-Netzwerk keinen Sinn. Die Echtheit der Verbindung wird allerdings bereits über das Tor-Netzwerk selbst garantiert, falls die URL korrekt ist. Carroll empfiehlt den Zertifizierungsstellen, generelle Richtlinien für die Vergabe von Zertifikaten für .onion-Adressen zu erstellen. Bis dahin sollten keine weiteren derartigen Zertifikate mehr ausgestellt werden.



Anzeige
Top-Angebote
  1. 79,98€ (Bestpreis!)
  2. Code: PINATA3 (unter anderem Galaxy S10 für 599,90€ oder Nintendo Swtich für 269,99€)
  3. (u. a. Cyberpunk 2077, FIFA 20, Doom Eternal CE)

FedoraUser 07. Nov 2014

- Wenn du Zugriff auf meinen Router hast ist auch schon alles was Netzwerk betrifft...

Niantic 06. Nov 2014

Nein. Weder das eine noch das andere stimmt. Du kannst schon eigene Daten auf Tor nutzen...


Folgen Sie uns
       


Pixel 3a und 3a XL - Test

Das Pixel 3a und das PIxel 3a XL sind Googles neue Mittelklasse-Smartphones. Beide haben die gleiche Kamera wie das Pixel 3.

Pixel 3a und 3a XL - Test Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
    Ocean Discovery X Prize
    Autonome Fraunhofer-Roboter erforschen die Tiefsee

    Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
    Ein Bericht von Werner Pluta

    1. JAB Code Bunter Barcode gegen Fälschungen

      •  /