• IT-Karriere:
  • Services:

.onion-Domains: Falsches Zertifikat für Tor-Facebook

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

Artikel veröffentlicht am , Hanno Böck
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit.
Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot)

Seit einigen Tagen ist Facebook offiziell auch im Tor-Netzwerk verfügbar. Facebook hat sich für seinen Tor-Auftritt ein TLS-Zertifikat für eine sogenannte .onion-Adresse ausstellen lassen, um auch über Tor via HTTPS erreichbar zu sein. Doch die Ausstellung von Zertifikaten für derartige Domains wirft interessante Fragen auf.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Duisburg
  2. Deutsche Rentenversicherung Bund, Berlin

Dem IT-Sicherheitsexperten Ian Carroll gelang es, sich für die Facebook-URL selbst ein gültiges Zertifikat ausstellen zu lassen. Ausgestellt wurde es von der Zertifizierungsstelle Globalsign. Das offizielle Zertifikat für Facebook stammt von Digicert. Der Grund ist einfach: Bislang erlauben Zertifizierungsstellen die Ausstellung von Zertifikaten für interne Domains in privaten Netzwerken. Und als interne Domain gelten alle Domainnamen, die keine offizielle Endung wie .de, .com oder .org haben.

Keine Prüfung interner Domainnamen

Die Praxis der Zertifikatsausstellung für interne Domains ist umstritten und das CA/Browser-Forum plant die Abschaffung solcher Zertifikate bis 2016. Doch zur Zeit ist es noch ohne jede Prüfung möglich, für inoffizielle Domainnamen Zertifikate zu beantragen. Im Tor-Netzwerk kommen Adressen mit der Endung .onion zum Einsatz, allerdings ist .onion keine offizielle Domainendung. Somit galt sie im Prüfsystem von Globalsign als interne Domainendung, und Carroll konnte hierfür einen beliebigen Domainnamen registrieren. Somit erhielt er ein gültiges Zertifikat für facebookcorewwwi.onion.

Globalsign hat inzwischen Carrolls Zertifikat zurückgezogen. Doch bekanntlich nützt das Zurückziehen von Zertifikaten wenig, da es von praktisch allen Browsern nur in unsicherer Weise implementiert ist. Auch der Tor-Browser macht da keine Ausnahme, er nutzt das OCSP-Protokoll nur im sogenannten Soft-Fail-Modus.

Laut Carroll ergibt der Einsatz von HTTPS unter diesen Umständen im Tor-Netzwerk keinen Sinn. Die Echtheit der Verbindung wird allerdings bereits über das Tor-Netzwerk selbst garantiert, falls die URL korrekt ist. Carroll empfiehlt den Zertifizierungsstellen, generelle Richtlinien für die Vergabe von Zertifikaten für .onion-Adressen zu erstellen. Bis dahin sollten keine weiteren derartigen Zertifikate mehr ausgestellt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Fusionsreaktor Iter
    Das Eine-Million-Teile-Puzzle in der entscheidenden Phase
  2. Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland
  3. Boeing 777x
    Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  4. Kernel
    Linux 5.5 bringt Wireguard-Unterbau
  5. Jobverluste in der Autobranche
    E-Autos sind nicht an allem schuld
Anzeige
Spiele-Angebote
  1. (-10%) 53,99€
  2. 2,79
  3. (-15%) 25,49€
  4. (-29%) 9,99€
Kommentarübersicht
Re: versteh das Problem nicht
FedoraUser 07. Nov 2014

- Wenn du Zugriff auf meinen Router hast ist auch schon alles was Netzwerk betrifft...

Re: Sicherheit?
Niantic 06. Nov 2014

Nein. Weder das eine noch das andere stimmt. Du kannst schon eigene Daten auf Tor nutzen...

Folgen Sie uns
       
Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Streaming
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich
Elektroauto
Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab
Digitalisierung
Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /