Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Artikel veröffentlicht am ,
Start Encrypt will auch kostenfreie Zertifikate anbieten.
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons)

Eine Sicherheitslücke in dem Dienst Start Encrypt ermöglicht das Ausstellen gültiger Zertifikate für URLs, die nicht unter der Kontrolle der Angreifer sind. Betreiber Startcom wurde über das Problem informiert und hat die Lücke mittlerweile geschlossen. Die Sicherheitslücken wurden von der niederländischen Sicherheitsfirma Computest gefunden.

Stellenmarkt
  1. Softwareentwickler (m/w/d)
    Comprion GmbH, Paderborn
  2. Referent (m/w/d) für Datenstrategie und Data Literacy
    Amprion GmbH, Dortmund
Detailsuche

Ähnlich wie Let's Encrypt bietet Start Encrypt kostenfreie einfache Zertifikate an, bei denen nur die Domain, nicht aber erweiterte Eigentümerinformationen geprüft werden. Bei der Domainprüfung ließ Start Encrypt jedoch offenbar auch Quellen zu, die außerhalb der zu überprüfenden Domain lagen. Nutzer müssen zum Beweis, dass sie eine Domain kontrollieren eine Datei unter der abzusichernden Domain platzieren. Doch offenbar genügte es, die entsprechende Datei bei Diensten wie Dropbox oder Github hochzuladen, weil die entsprechende Einstellung vom Client und nicht vom Start Encrypt-Server vorgegeben wurden und somit unter Kontrolle der Angreifer war.

Auch Umleitungen werden akzeptiert

Außerdem akzeptierte die API des Dienstes auch Weiterleitungen. Angreifer hätten demnach URLs mit Redirects eintragen können. Die Überprüfung der Datei am Ende der Weiterleitung wurde dabei von Start Encrypt ohne Beanstandung durchgeführt, gleichzeitig wurde ein gültiges Zertifikat für die URL im vorderen Teil ausgestellt. Nach Angaben der Entdecker ließen sich so gültige Zertifikate für Seiten wie Facebook.com ausstellen. Weil Facebook aber Certificate-Pinning einsetzt, können Angreifer keine Man-In-The-Middle-Angriffe durchführen.

Die Client-Software enthielt zahlreiche weitere Fehler. Aufgelistet wurden nach Angaben von Computest nur solche, die vom Betreiber schon geschlossen wurden. So soll der Client nicht die Validität des vom Start Encrypt-Server übermittelten Zertifikates überprüft haben. Außerdem wurden die Privaten Schlüssel der Nutzer mit der Berechtigung "Mode 0666" gespeichert, so dass alle lokalen Nutzer die Datei lesen und verändern können.

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    28.06.-01.07.2022, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
Weitere IT-Trainings

Anders als bei Let's Encrypt handet es sich bei Start-Encrypt-Betreiber Startcom um ein kommerzielles Unternehmen. Die Firma hat ihren Sitz in Eilat in Israel, wo es zahlreiche Tech-Startups gibt. Das Unternehmen hat die Clientsoftware wegen der zahlreichen Fehler vorläufig zurückgezogen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  2. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  3. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /