Abo
  • Services:
Anzeige
Start Encrypt will auch kostenfreie Zertifikate anbieten.
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons)

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Start Encrypt will auch kostenfreie Zertifikate anbieten.
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons)

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Eine Sicherheitslücke in dem Dienst Start Encrypt ermöglicht das Ausstellen gültiger Zertifikate für URLs, die nicht unter der Kontrolle der Angreifer sind. Betreiber Startcom wurde über das Problem informiert und hat die Lücke mittlerweile geschlossen. Die Sicherheitslücken wurden von der niederländischen Sicherheitsfirma Computest gefunden.

Anzeige

Ähnlich wie Let's Encrypt bietet Start Encrypt kostenfreie einfache Zertifikate an, bei denen nur die Domain, nicht aber erweiterte Eigentümerinformationen geprüft werden. Bei der Domainprüfung ließ Start Encrypt jedoch offenbar auch Quellen zu, die außerhalb der zu überprüfenden Domain lagen. Nutzer müssen zum Beweis, dass sie eine Domain kontrollieren eine Datei unter der abzusichernden Domain platzieren. Doch offenbar genügte es, die entsprechende Datei bei Diensten wie Dropbox oder Github hochzuladen, weil die entsprechende Einstellung vom Client und nicht vom Start Encrypt-Server vorgegeben wurden und somit unter Kontrolle der Angreifer war.

Auch Umleitungen werden akzeptiert

Außerdem akzeptierte die API des Dienstes auch Weiterleitungen. Angreifer hätten demnach URLs mit Redirects eintragen können. Die Überprüfung der Datei am Ende der Weiterleitung wurde dabei von Start Encrypt ohne Beanstandung durchgeführt, gleichzeitig wurde ein gültiges Zertifikat für die URL im vorderen Teil ausgestellt. Nach Angaben der Entdecker ließen sich so gültige Zertifikate für Seiten wie Facebook.com ausstellen. Weil Facebook aber Certificate-Pinning einsetzt, können Angreifer keine Man-In-The-Middle-Angriffe durchführen.

Die Client-Software enthielt zahlreiche weitere Fehler. Aufgelistet wurden nach Angaben von Computest nur solche, die vom Betreiber schon geschlossen wurden. So soll der Client nicht die Validität des vom Start Encrypt-Server übermittelten Zertifikates überprüft haben. Außerdem wurden die Privaten Schlüssel der Nutzer mit der Berechtigung "Mode 0666" gespeichert, so dass alle lokalen Nutzer die Datei lesen und verändern können.

Anders als bei Let's Encrypt handet es sich bei Start-Encrypt-Betreiber Startcom um ein kommerzielles Unternehmen. Die Firma hat ihren Sitz in Eilat in Israel, wo es zahlreiche Tech-Startups gibt. Das Unternehmen hat die Clientsoftware wegen der zahlreichen Fehler vorläufig zurückgezogen.


eye home zur Startseite
SJ 04. Jul 2016

... und wollte kurzerhand einen ähnlichen Service aufbauen....



Anzeige

Stellenmarkt
  1. Wolters Kluwer Deutschland GmbH, Hürth bei Köln
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. über HRM CONSULTING GmbH, Konstanz (Home-Office)
  4. PTV Group, Karlsruhe


Anzeige
Top-Angebote
  1. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€)
  2. (alle Angebote versandkostenfrei, u. a. Prey (Day One Edition) PC/Konsole 35,00€, Yakuza Zero PS4...
  3. 44,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Jeder redet über FB-Mitarbeiter - keiner über...

    JanPM | 00:45

  2. Danke...

    Hello_World | 00:40

  3. Re: Liebe SPD...

    FreiGeistler | 00:37

  4. Selber machen.

    FreiGeistler | 00:31

  5. Re: Mit Stream On gibt es noch ein ganz anderes...

    redmord | 00:28


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel