Abo
  • IT-Karriere:

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Artikel veröffentlicht am ,
Start Encrypt will auch kostenfreie Zertifikate anbieten.
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons)

Eine Sicherheitslücke in dem Dienst Start Encrypt ermöglicht das Ausstellen gültiger Zertifikate für URLs, die nicht unter der Kontrolle der Angreifer sind. Betreiber Startcom wurde über das Problem informiert und hat die Lücke mittlerweile geschlossen. Die Sicherheitslücken wurden von der niederländischen Sicherheitsfirma Computest gefunden.

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. Deutsche WindGuard Consulting GmbH, Varel

Ähnlich wie Let's Encrypt bietet Start Encrypt kostenfreie einfache Zertifikate an, bei denen nur die Domain, nicht aber erweiterte Eigentümerinformationen geprüft werden. Bei der Domainprüfung ließ Start Encrypt jedoch offenbar auch Quellen zu, die außerhalb der zu überprüfenden Domain lagen. Nutzer müssen zum Beweis, dass sie eine Domain kontrollieren eine Datei unter der abzusichernden Domain platzieren. Doch offenbar genügte es, die entsprechende Datei bei Diensten wie Dropbox oder Github hochzuladen, weil die entsprechende Einstellung vom Client und nicht vom Start Encrypt-Server vorgegeben wurden und somit unter Kontrolle der Angreifer war.

Auch Umleitungen werden akzeptiert

Außerdem akzeptierte die API des Dienstes auch Weiterleitungen. Angreifer hätten demnach URLs mit Redirects eintragen können. Die Überprüfung der Datei am Ende der Weiterleitung wurde dabei von Start Encrypt ohne Beanstandung durchgeführt, gleichzeitig wurde ein gültiges Zertifikat für die URL im vorderen Teil ausgestellt. Nach Angaben der Entdecker ließen sich so gültige Zertifikate für Seiten wie Facebook.com ausstellen. Weil Facebook aber Certificate-Pinning einsetzt, können Angreifer keine Man-In-The-Middle-Angriffe durchführen.

Die Client-Software enthielt zahlreiche weitere Fehler. Aufgelistet wurden nach Angaben von Computest nur solche, die vom Betreiber schon geschlossen wurden. So soll der Client nicht die Validität des vom Start Encrypt-Server übermittelten Zertifikates überprüft haben. Außerdem wurden die Privaten Schlüssel der Nutzer mit der Berechtigung "Mode 0666" gespeichert, so dass alle lokalen Nutzer die Datei lesen und verändern können.

Anders als bei Let's Encrypt handet es sich bei Start-Encrypt-Betreiber Startcom um ein kommerzielles Unternehmen. Die Firma hat ihren Sitz in Eilat in Israel, wo es zahlreiche Tech-Startups gibt. Das Unternehmen hat die Clientsoftware wegen der zahlreichen Fehler vorläufig zurückgezogen.



Anzeige
Hardware-Angebote
  1. ab 369€ + Versand
  2. 529,00€

SJ 04. Jul 2016

... und wollte kurzerhand einen ähnlichen Service aufbauen....


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

    •  /