Abo
  • Services:
Anzeige
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

TLS-Zertifikate: Comodo stellt fälschlicherweise Microsoft-Zertifikat aus

Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.

Unbekannten ist es gelungen, sich ein Zertifikat für die Microsoft-Domain live.fi ausstellen zu lassen. Das teilte Microsoft in einem Advisory mit. Ausgestellt wurde das Zertifikat von der Zertifizierungsstelle Comodo.

Anzeige

E-Mail-Adresse hostmaster@live.fi erstellt

Die betroffene Domain wird von Microsoft in Finnland zur Bereitstellung der Windows-Live-Services genutzt. Laut Recherchen der Webseite The Register gelang es dem Angreifer, sich die E-Mail-Adresse hostmaster@live.fi anzulegen. Derartige Mailadressen werden von Zertifizierungsstellen genutzt, um zu prüfen, ob eine Domain tatsächlich dem Antragsteller für ein Zertifikat gehört.

Zugelassen für dieses Verfahren namens Domain Validation sind für jede Domain fünf E-Mail-Adressen, deren Lokalteil admin, administrator, webmaster, hostmaster oder postmaster lauten muss. Diese zulässigen Adressen sind in den sogenannten Baseline Requirements des CA/Browser-Forums festgelegt. Anbieter von E-Mail-Services müssen dafür sorgen, dass diese E-Mail-Adressen ausschließlich von Administratoren genutzt werden können. Insbesondere Freemail-Anbieter müssen hier darauf achten, dass es nicht möglich ist, dass beliebige Nutzer derartige Mailadressen anlegen können.

OCSP-Prüfung ist unsicher

Ein Problem, das sich bei diesem Vorfall erneut zeigt: Es ist extrem schwierig, Zertifikate als ungültig zu markieren. Zwar gibt es theoretisch eine Gültigkeitsprüfung von Zertifikaten entweder über Sperrlisten (Certificate Revocation Lists CRLs) oder über die Technologie OCSP. Doch beide Technologien haben ein Problem: Sie sind in praktisch allen Browsern nur in einem sogenannten Soft-Fail-Modus aktiviert. Ist der entsprechende Server der Zertifizierungsstelle nicht erreichbar, werden die Zertifikate trotzdem als gültig akzeptiert. Die gesamte Gültigkeitsprüfung ist somit eigentlich sinnlos, denn ein Angreifer, der mittels eines erschlichenen Zertifikats eine Man-in-the-Middle-Attacke durchführt, kann schlicht die Verbindung zum CRL- und OCSP-Server stoppen.

Chrome hat inzwischen aus diesem Grund die Gültigkeitsprüfung über OCSP und CRL komplett aufgegeben und nutzt ein Verfahren namens CRLset. Dabei erhält der Browser eine Liste von wichtigen ungültigen Zertifikaten. Das CRLset-Verfahren funktioniert allerdings nicht in großem Stil, denn wenn man alle ungültigen Zertifikate darüber verteilen würde, wäre die Liste zu groß.

Abhilfe schaffen könnte das Verfahren OCSP Stapling zusammen mit einer Erweiterung von Zertifikaten, die das Stapling vorschreibt. Doch während OCSP Stapling schon funktioniert und von einigen Webseiten eingesetzt wird, ist die für ein sicheres Verfahren notwendige Must-Staple-Erweiterung bislang nur ein Entwurf, an dem zurzeit auch niemand arbeitet.

Microsoft selbst liefert inzwischen ein Update für Windows aus, mit dem das Zertifikat gesperrt wird. Das funktioniert zwar in prominenten Fällen wie diesem, bei dem für wichtige Domains ein unberechtigtes Zertifikat ausgestellt wird, es zeigt aber deutlich, dass es kein praktikables Verfahren zum Zurückziehen von Zertifikaten gibt.

Internet Explorer unterstützt kein Key Pinning

Angriffe mit erschlichenen Zertifikaten können durch ein Verfahren namens HTTP Public Key Pinning (HPKP) deutlich erschwert werden. Dabei speichert der Browser bei der ersten Verbindung zu einer Webseite einen Hash-Wert des zum Zertifikat gehörenden kryptographischen Schlüssels. Doch Microsoft hinkt in Sachen HPKP hinterher: Der Internet Explorer unterstützt das Key Pinning nicht und Microsofts Webseiten liefern auch keinen entsprechenden Header aus.

Comodo ist nicht zum ersten Mal im Zusammenhang mit fälschlicherweise ausgestellten Zertifikaten in den Schlagzeilen. 2011 gab es zahlreiche Vorfälle, bei denen die Firma, die inzwischen die weltgrößte Zertifizierungsstelle ist, Unberechtigten Zertifikate ausgab. Zuletzt war Comodo auch im Zusammenhang mit der Software Privdog in den Negativschlagzeilen. Allerdings scheint es so, dass im aktuellen Fall Comodo keine Schuld trifft. Vielmehr liegt der Fehler alleine bei Microsoft.

Nachtrag vom 19. März 2015, 9:58 Uhr

Ursprünglich hatten wir geschrieben, dass das entsprechende Zertifikat über die Mailadresse admin@live.fi registriert worden sei. Einem Bericht der Webseite Tivi.fi zufolge, die mit dem Zertifikatsaussteller gesprochen hat, handelte es sich jedoch um die Adresse hostmaster@live.fi.


eye home zur Startseite
SoniX 18. Mär 2015

Ja, ich meinte sowas wie deine angesprochene "Baseline" Verschlüsselung für den...

negecy 17. Mär 2015

Korrekt, daher nicht DANE versus(!) PKIX sondern PKIX mit(!) DANE, dann wird ein Schuh draus.

RipClaw 17. Mär 2015

Klar kannst du via SQL Injection bei einem CMS die Datei simulieren oder aber wenn du...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. ADA Cosmetics Holding GmbH, Kehl
  3. EOS GmbH Electro Optical Systems, Krailling bei München
  4. Vodafone GmbH, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Re: Wissenschaft lol

    Desertdelphin | 04:00

  2. Re: Warum sind Ports aufs PCB gelötet?

    Sarkastius | 03:59

  3. Re: Jetzt sind Autos endlich leise

    bentol | 03:39

  4. Re: Danke für die Offenlegung

    Neuro-Chef | 03:38

  5. Re: Airbus für mich ein NoGo

    Neuro-Chef | 03:37


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel