Abo
  • Services:
Anzeige
Zertifikate für den Internet Explorer unter Windows 7
Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Anzeige

Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zertifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut. Jede einzelne dieser sogenannten CAs (Certificate Authorities) ist theoretisch in der Lage, einen Man-in-the-Middle-Angriff auf TLS-Verbindungen durchzuführen.

Ein Bericht der Zeitschrift c't weist nun auf ein problematisches Verhalten der Kryptographie-Schnittstelle unter Windows hin. Findet der Internet Explorer eine Webseite, deren Zertifikat von einer unbekannten Stelle unterschrieben wurde, wird automatisch online eine Liste von weiteren Zertifizierungsstellen nachgeladen. Diese Funktion wurde 2007 bei Windows eingeführt, sie wurde damals allerdings kaum wahrgenommen.

Theoretisch könnte Microsoft also dem Nutzer jederzeit ein Zertifikat unterschieben, das von einer bislang nicht in Erscheinung getretenen Zertifizierungsstelle unterschrieben wurde.

Es ist zwar möglich, diese Funktionalität abzuschalten, das führt aber fast zwangsläufig zu Problemen. Denn Windows liefert nicht mehr alle Zertifizierungsstellen mit. So ist etwa das Root-Zertifikat der Deutschen Telekom in der Liste der vorhandenen Zertifizierungsstellen nicht enthalten. Wer die Funktion abstellt, erhält also auf vielen Seiten Warnmeldungen, dass die Echtheit eines Zertifikats nicht überprüft werden konnte.

Nicht nur der Internet Explorer ist betroffen, auch Chrome und Safari nutzen unter Windows das systemeigene Zertifikatsmanagement. Mozilla Firefox hingegen verwendet seine TLS-Implementierung NSS, die eine eigene Liste von Zertifikaten mitbringt und keine vergleichbare Funktionalität besitzt.

Schon in der Vergangenheit wurde häufig kritisiert, dass Browser zu vielen Zertifizierungsstellen automatisch vertrauen und kaum transparent ist, nach welchen Regeln diese arbeiten. Nur in seltenen Fällen werden Zertifizierungsstellen wieder aus den Browsern entfernt. Auch kann jede Zertifizierungsstelle nach Belieben Unterzertifizierungsstellen erzeugen.

Die Electronic Frontier Foundation (EFF) hatte 2010 in großem Umfang TLS-Zertifikate und Zertifizierungsstellen untersucht und festgestellt, dass ein gängiger Browser, wenn man alle bekannten Unterzertifizierungsstellen einrechnet, etwa 1.500 Zertifikate als vertrauenswürdig einstuft. Diese befänden sich in 52 Staaten.

Doch obwohl die Probleme des CA-Systems bekannt sind, gibt es bislang keine Alternativen. Es wird diskutiert, Zertifikate künftig über DNSSEC zu prüfen, das entsprechende Protokoll DANE existiert bereits. DNSSEC soll künftig die Auflösung von Domainnamen absichern und könnte dabei auch Zertifikatsinformationen mitliefern. Doch bislang wird DNSSEC nur von sehr wenigen Domains genutzt.


eye home zur Startseite
phade 30. Jul 2013

Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im...

Switchblade 30. Jul 2013

Lies doch die News:



Anzeige

Stellenmarkt
  1. Provadis Professionals GmbH, Frankfurt am Main
  2. Friedrich Lütze GmbH, Weinstadt
  3. IHK für München und Oberbayern, München
  4. BMF Media Information Technology GmbH, Augsburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Space Jam 11,97€, Ex Machina 9,97€, Game of Thrones 3. Staffel 24,97€)
  2. 5,99€ FSK 18
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Roborace

    Roboterrennwagen bei Testlauf verunglückt

  2. Realface

    Apple kauft israelischen Gesichtserkennungsspezialisten

  3. Chevrolet Bolt

    GM plant Tests mit Tausenden von autonomen Elektroautos

  4. Konkurrenz zu Amazon Echo

    Hologramm-Barbie soll digitale Assistentin werden

  5. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  6. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  7. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  8. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  9. SpaceX

    Trägerrakete Falcon 9 erfolgreich gestartet

  10. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

Autonomes Fahren: Die Ära der Kooperitis
Autonomes Fahren
Die Ära der Kooperitis
  1. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  2. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank
  3. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

  1. ad "kinetischer effekt"

    drsnuggles79 | 07:47

  2. Re: Immer die selbe Leier

    eXXogene | 07:36

  3. Re: Und wo liegt nun der Unterschied zu Alexa?

    M.P. | 07:18

  4. Re: was ist schlimmer

    longthinker | 07:16

  5. Re: Wie kann man auch so dumm sein?

    Dragon Of Blood | 07:15


  1. 07:53

  2. 07:41

  3. 07:22

  4. 14:00

  5. 12:11

  6. 11:29

  7. 11:09

  8. 10:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel