Abo
  • Services:
Anzeige
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

.onion-Domains: Falsches Zertifikat für Tor-Facebook

Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

Anzeige

Seit einigen Tagen ist Facebook offiziell auch im Tor-Netzwerk verfügbar. Facebook hat sich für seinen Tor-Auftritt ein TLS-Zertifikat für eine sogenannte .onion-Adresse ausstellen lassen, um auch über Tor via HTTPS erreichbar zu sein. Doch die Ausstellung von Zertifikaten für derartige Domains wirft interessante Fragen auf.

Dem IT-Sicherheitsexperten Ian Carroll gelang es, sich für die Facebook-URL selbst ein gültiges Zertifikat ausstellen zu lassen. Ausgestellt wurde es von der Zertifizierungsstelle Globalsign. Das offizielle Zertifikat für Facebook stammt von Digicert. Der Grund ist einfach: Bislang erlauben Zertifizierungsstellen die Ausstellung von Zertifikaten für interne Domains in privaten Netzwerken. Und als interne Domain gelten alle Domainnamen, die keine offizielle Endung wie .de, .com oder .org haben.

Keine Prüfung interner Domainnamen

Die Praxis der Zertifikatsausstellung für interne Domains ist umstritten und das CA/Browser-Forum plant die Abschaffung solcher Zertifikate bis 2016. Doch zur Zeit ist es noch ohne jede Prüfung möglich, für inoffizielle Domainnamen Zertifikate zu beantragen. Im Tor-Netzwerk kommen Adressen mit der Endung .onion zum Einsatz, allerdings ist .onion keine offizielle Domainendung. Somit galt sie im Prüfsystem von Globalsign als interne Domainendung, und Carroll konnte hierfür einen beliebigen Domainnamen registrieren. Somit erhielt er ein gültiges Zertifikat für facebookcorewwwi.onion.

Globalsign hat inzwischen Carrolls Zertifikat zurückgezogen. Doch bekanntlich nützt das Zurückziehen von Zertifikaten wenig, da es von praktisch allen Browsern nur in unsicherer Weise implementiert ist. Auch der Tor-Browser macht da keine Ausnahme, er nutzt das OCSP-Protokoll nur im sogenannten Soft-Fail-Modus.

Laut Carroll ergibt der Einsatz von HTTPS unter diesen Umständen im Tor-Netzwerk keinen Sinn. Die Echtheit der Verbindung wird allerdings bereits über das Tor-Netzwerk selbst garantiert, falls die URL korrekt ist. Carroll empfiehlt den Zertifizierungsstellen, generelle Richtlinien für die Vergabe von Zertifikaten für .onion-Adressen zu erstellen. Bis dahin sollten keine weiteren derartigen Zertifikate mehr ausgestellt werden.


eye home zur Startseite
FedoraUser 07. Nov 2014

- Wenn du Zugriff auf meinen Router hast ist auch schon alles was Netzwerk betrifft...

Niantic 06. Nov 2014

Nein. Weder das eine noch das andere stimmt. Du kannst schon eigene Daten auf Tor nutzen...



Anzeige

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Neckarsulm
  2. Robert Bosch GmbH, Stuttgart
  3. Rohde & Schwarz GmbH & Co. KG, München
  4. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart


Anzeige
Hardware-Angebote
  1. 18,01€+ 3€ Versand

Folgen Sie uns
       


  1. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  2. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  3. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  4. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  5. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  6. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  7. Oracle

    Java SE 9 und Java EE 8 gehen live

  8. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  9. Streaming

    Update für Fire TV bringt Lupenfunktion

  10. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Gab es irgendjemanden

    Chatlog | 17:22

  2. Re: Wozu?

    elcaron | 17:21

  3. Re: Lumia 950 hat schon 1709...

    JouMxyzptlk | 17:20

  4. Re: Und bei DSL?

    Ovaron | 17:20

  5. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    LH | 17:20


  1. 17:25

  2. 16:55

  3. 16:39

  4. 16:12

  5. 15:30

  6. 15:06

  7. 14:00

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel