• IT-Karriere:
  • Services:

TLS-Zertifikate: Comodo stellt fälschlicherweise Microsoft-Zertifikat aus

Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.

Artikel veröffentlicht am , Hanno Böck
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi.
Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0)

Unbekannten ist es gelungen, sich ein Zertifikat für die Microsoft-Domain live.fi ausstellen zu lassen. Das teilte Microsoft in einem Advisory mit. Ausgestellt wurde das Zertifikat von der Zertifizierungsstelle Comodo.

E-Mail-Adresse hostmaster@live.fi erstellt

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Deutsche Post DHL Group, Bonn

Die betroffene Domain wird von Microsoft in Finnland zur Bereitstellung der Windows-Live-Services genutzt. Laut Recherchen der Webseite The Register gelang es dem Angreifer, sich die E-Mail-Adresse hostmaster@live.fi anzulegen. Derartige Mailadressen werden von Zertifizierungsstellen genutzt, um zu prüfen, ob eine Domain tatsächlich dem Antragsteller für ein Zertifikat gehört.

Zugelassen für dieses Verfahren namens Domain Validation sind für jede Domain fünf E-Mail-Adressen, deren Lokalteil admin, administrator, webmaster, hostmaster oder postmaster lauten muss. Diese zulässigen Adressen sind in den sogenannten Baseline Requirements des CA/Browser-Forums festgelegt. Anbieter von E-Mail-Services müssen dafür sorgen, dass diese E-Mail-Adressen ausschließlich von Administratoren genutzt werden können. Insbesondere Freemail-Anbieter müssen hier darauf achten, dass es nicht möglich ist, dass beliebige Nutzer derartige Mailadressen anlegen können.

OCSP-Prüfung ist unsicher

Ein Problem, das sich bei diesem Vorfall erneut zeigt: Es ist extrem schwierig, Zertifikate als ungültig zu markieren. Zwar gibt es theoretisch eine Gültigkeitsprüfung von Zertifikaten entweder über Sperrlisten (Certificate Revocation Lists CRLs) oder über die Technologie OCSP. Doch beide Technologien haben ein Problem: Sie sind in praktisch allen Browsern nur in einem sogenannten Soft-Fail-Modus aktiviert. Ist der entsprechende Server der Zertifizierungsstelle nicht erreichbar, werden die Zertifikate trotzdem als gültig akzeptiert. Die gesamte Gültigkeitsprüfung ist somit eigentlich sinnlos, denn ein Angreifer, der mittels eines erschlichenen Zertifikats eine Man-in-the-Middle-Attacke durchführt, kann schlicht die Verbindung zum CRL- und OCSP-Server stoppen.

Chrome hat inzwischen aus diesem Grund die Gültigkeitsprüfung über OCSP und CRL komplett aufgegeben und nutzt ein Verfahren namens CRLset. Dabei erhält der Browser eine Liste von wichtigen ungültigen Zertifikaten. Das CRLset-Verfahren funktioniert allerdings nicht in großem Stil, denn wenn man alle ungültigen Zertifikate darüber verteilen würde, wäre die Liste zu groß.

Abhilfe schaffen könnte das Verfahren OCSP Stapling zusammen mit einer Erweiterung von Zertifikaten, die das Stapling vorschreibt. Doch während OCSP Stapling schon funktioniert und von einigen Webseiten eingesetzt wird, ist die für ein sicheres Verfahren notwendige Must-Staple-Erweiterung bislang nur ein Entwurf, an dem zurzeit auch niemand arbeitet.

Microsoft selbst liefert inzwischen ein Update für Windows aus, mit dem das Zertifikat gesperrt wird. Das funktioniert zwar in prominenten Fällen wie diesem, bei dem für wichtige Domains ein unberechtigtes Zertifikat ausgestellt wird, es zeigt aber deutlich, dass es kein praktikables Verfahren zum Zurückziehen von Zertifikaten gibt.

Internet Explorer unterstützt kein Key Pinning

Angriffe mit erschlichenen Zertifikaten können durch ein Verfahren namens HTTP Public Key Pinning (HPKP) deutlich erschwert werden. Dabei speichert der Browser bei der ersten Verbindung zu einer Webseite einen Hash-Wert des zum Zertifikat gehörenden kryptographischen Schlüssels. Doch Microsoft hinkt in Sachen HPKP hinterher: Der Internet Explorer unterstützt das Key Pinning nicht und Microsofts Webseiten liefern auch keinen entsprechenden Header aus.

Comodo ist nicht zum ersten Mal im Zusammenhang mit fälschlicherweise ausgestellten Zertifikaten in den Schlagzeilen. 2011 gab es zahlreiche Vorfälle, bei denen die Firma, die inzwischen die weltgrößte Zertifizierungsstelle ist, Unberechtigten Zertifikate ausgab. Zuletzt war Comodo auch im Zusammenhang mit der Software Privdog in den Negativschlagzeilen. Allerdings scheint es so, dass im aktuellen Fall Comodo keine Schuld trifft. Vielmehr liegt der Fehler alleine bei Microsoft.

Nachtrag vom 19. März 2015, 9:58 Uhr

Ursprünglich hatten wir geschrieben, dass das entsprechende Zertifikat über die Mailadresse admin@live.fi registriert worden sei. Einem Bericht der Webseite Tivi.fi zufolge, die mit dem Zertifikatsaussteller gesprochen hat, handelte es sich jedoch um die Adresse hostmaster@live.fi.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Deadpool, Logan - The Wolverine, James Bond - Spectre, Titanic 3D)
  2. 379,00€ (Vergleichspreis ab 478,07€)
  3. (aktuell u. a. Xiaomi Mi 9 128 GB Ocean Blue für 369,00€ und Deepcool Matrexx 55 V3 Tower...
  4. 90,99€ (Bestpreis)

SoniX 18. Mär 2015

Ja, ich meinte sowas wie deine angesprochene "Baseline" Verschlüsselung für den...

negecy 17. Mär 2015

Korrekt, daher nicht DANE versus(!) PKIX sondern PKIX mit(!) DANE, dann wird ein Schuh draus.

RipClaw 17. Mär 2015

Klar kannst du via SQL Injection bei einem CMS die Datei simulieren oder aber wenn du...


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /