Abo
  • Services:

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Artikel veröffentlicht am ,
Start Encrypt will auch kostenfreie Zertifikate anbieten.
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons)

Eine Sicherheitslücke in dem Dienst Start Encrypt ermöglicht das Ausstellen gültiger Zertifikate für URLs, die nicht unter der Kontrolle der Angreifer sind. Betreiber Startcom wurde über das Problem informiert und hat die Lücke mittlerweile geschlossen. Die Sicherheitslücken wurden von der niederländischen Sicherheitsfirma Computest gefunden.

Stellenmarkt
  1. degewo netzWerk GmbH, Berlin
  2. Hilger u. Kern GmbH Industrietechnik, Cham (Schweiz)

Ähnlich wie Let's Encrypt bietet Start Encrypt kostenfreie einfache Zertifikate an, bei denen nur die Domain, nicht aber erweiterte Eigentümerinformationen geprüft werden. Bei der Domainprüfung ließ Start Encrypt jedoch offenbar auch Quellen zu, die außerhalb der zu überprüfenden Domain lagen. Nutzer müssen zum Beweis, dass sie eine Domain kontrollieren eine Datei unter der abzusichernden Domain platzieren. Doch offenbar genügte es, die entsprechende Datei bei Diensten wie Dropbox oder Github hochzuladen, weil die entsprechende Einstellung vom Client und nicht vom Start Encrypt-Server vorgegeben wurden und somit unter Kontrolle der Angreifer war.

Auch Umleitungen werden akzeptiert

Außerdem akzeptierte die API des Dienstes auch Weiterleitungen. Angreifer hätten demnach URLs mit Redirects eintragen können. Die Überprüfung der Datei am Ende der Weiterleitung wurde dabei von Start Encrypt ohne Beanstandung durchgeführt, gleichzeitig wurde ein gültiges Zertifikat für die URL im vorderen Teil ausgestellt. Nach Angaben der Entdecker ließen sich so gültige Zertifikate für Seiten wie Facebook.com ausstellen. Weil Facebook aber Certificate-Pinning einsetzt, können Angreifer keine Man-In-The-Middle-Angriffe durchführen.

Die Client-Software enthielt zahlreiche weitere Fehler. Aufgelistet wurden nach Angaben von Computest nur solche, die vom Betreiber schon geschlossen wurden. So soll der Client nicht die Validität des vom Start Encrypt-Server übermittelten Zertifikates überprüft haben. Außerdem wurden die Privaten Schlüssel der Nutzer mit der Berechtigung "Mode 0666" gespeichert, so dass alle lokalen Nutzer die Datei lesen und verändern können.

Anders als bei Let's Encrypt handet es sich bei Start-Encrypt-Betreiber Startcom um ein kommerzielles Unternehmen. Die Firma hat ihren Sitz in Eilat in Israel, wo es zahlreiche Tech-Startups gibt. Das Unternehmen hat die Clientsoftware wegen der zahlreichen Fehler vorläufig zurückgezogen.



Anzeige
Spiele-Angebote
  1. (-58%) 24,99€
  2. (-75%) 14,99€
  3. (-75%) 9,99€

SJ 04. Jul 2016

... und wollte kurzerhand einen ähnlichen Service aufbauen....


Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
Coradia iLint: Alstoms Brennstoffzellenzug ist erschreckend unspektakulär
Coradia iLint
Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"

Ein Nahverkehrszug mit Elektroantrieb ist eigentlich keine Erwähnung wert, dieser jedoch schon: Der vom französischen Konzern Alstom entwickelte Coradia iLint hat einen Antrieb mit Brennstoffzelle. Wir sind mitgefahren.
Ein Bericht von Werner Pluta

  1. Alternativer Antrieb Toyota zeigt Brennstoffzellenauto und Bus
  2. General Motors Surus bringt Brennstoffzellen in autonome Lkw
  3. Alternative Antriebe Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

    •  /