Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Die kostenlose Zertifizierungsstelle Wosign hatte offenbar mehrere Sicherheitslücken, die die unberechtigte Ausstellung von Zertifikaten ermöglichten. Unter anderem gelang es einem Systemadministrator, ein Zertifikat für github.io auszustellen, eine Ausstellung für github.com wäre ebenfalls möglich gewesen. Ein weiteres Zertifikat wurde für die Domain cloudapp.net von Microsoft ausgestellt.

Anzeige

Mozilla-Entwickler Gervase Markham schickte vor einigen Tagen einen Bericht über eine ganze Reihe von Vorfällen an die Security-Policy-Mailingliste von Mozilla.

Validierung für Subdomain ermöglicht Zertifikatsausstellung für Hauptdomain

Ein Systemadministrator an der University of Central Florida (UCF), Stephen Schrauger, versuchte im Juni 2015 versehentlich, ein Zertifikat für die Hauptdomain der Universität - www.ucf.edu - auszustellen. Eigentlich wollte er nur ein Zertifikat für Subdomains der medizinischen Fakultät - med.ucf.edu - beantragen. Für diese Subdomain hatte er den Domainvalidierungsprozess durchgeführt. Doch zu seiner Überraschung war es ihm trotzdem möglich, ein Zertifikat für die Universitätsdomain zu bekommen.

Diese Sicherheitslücke ließ sich auch bei Github ausnutzen. Nutzer können dort Subdomains unter der Domain github.io anlegen. Früher war es auch möglich, Subdomains unter github.com anzulegen - dort bereits bestehende Domains können weiterhin genutzt werden. Neue User können derartige Subdomains jedoch nicht mehr anlegen. Mittels einer solche Subdomain gelang es Schrauger, ein gültiges Zertifikat für github.io zu beantragen.

Schrauger war sich zunächst unsicher, wen er über diese Lücke informieren sollte. Nach einem Telefongespräch mit dem IT-Sicherheitsexperten Dan Kaminsky meldete Schrauger die Lücke an Wosign. Letztendlich wendete er sich an das Bug-Bounty-Programm von Github, Github informierte daraufhin Google und später auch Mozilla.

Laut Wosigns CEO Richard Wang waren von dieser Sicherheitslücke insgesamt 33 Zertifikate betroffen. Kritik gab es zunächst daran, dass Wang erklärte, die Zertifikate könnten nur revoked werden, wenn dies von den Kunden gewünscht wird. Später erklärte Wang jedoch, dass nun alle betroffenen Zertifikate zurückgezogen wurden.

Domainvalidierung über unpriviligierte Ports

Eine weitere Lücke bot im April 2015 offenbar die Möglichkeit, bei der Domainvalidierung unpriviligierte Ports zu nutzen. Eine der Methoden, mit denen Zertifizierungsstellen den Besitzer einer Domain prüfen, ist das Ablegen einer Datei mit einem Code auf dem HTTP-Server. Die Zertifizierungsstelle gibt dabei die URL und den Code vor. Bei Wosign war es möglich, den HTTP-Server auf einem Port mit einer hohen Portnummer zu betreiben. Ports kleiner als 1.024 lassen sich üblicherweise nur mit Root- oder Administratorrechten öffnen, auf höheren Ports kann jedoch auch ein normaler Useraccount einen Service betreiben. Somit konnte ein unpriviligierter Nutzer, der einen Account auf einem System besitzt, auf das eine Domain verweist, für diese Domain ein Zertifikat erzeugen. Laut Wang wurden 72 Zertifikate mit diesem Mechanismus ausgestellt.

Ein Problem in diesem Fall ist, dass zu dem Zeitpunkt die Richtlinien für Zertifizierungsstellen, die sogenannten Baseline Requirements, diese Praxis nicht eindeutig untersagten. Erst der Anfang August verabschiedete Ballot 169 klärt diese Frage eindeutig und verbietet die Nutzung unpriviligierter Portnummern.

Gehört Startcom jetzt Wosign? 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. DENIOS AG, Bad Oeynhausen
  2. Ingentis Softwareentwicklung GmbH, Nürnberg
  3. Deutsche Bundesbank, München
  4. Statistisches Bundesamt, Wiesbaden


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 14,99€
  3. 8,39€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  2. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  3. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  4. Armatix

    Smart Gun lässt sich mit Magneten hacken

  5. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  6. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  7. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  8. Quantengatter

    Die Bauteile des Quantencomputers

  9. Microsoft gibt Entwarnung

    MS Paint bleibt

  10. BGH-Urteil

    Banken dürfen Geld für SMS-TANs verlangen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

48-Volt-Systeme: Bosch setzt auf Boom für kompakte Elektroantriebe
48-Volt-Systeme
Bosch setzt auf Boom für kompakte Elektroantriebe
  1. Elektroautos Bayern startet Förderprogramm für Ladesäulen
  2. Elektromobilität Staatliche Finanzhilfen elektrisieren Norwegen
  3. Elektromobilität Shell stellt Ladesäulen an Tankstellen auf

Anwendungen für Quantencomputer: Der Spuk in Ihrem Computer
Anwendungen für Quantencomputer
Der Spuk in Ihrem Computer
  1. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  2. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  3. Quantenoptik Vom Batman-Fan zum Quantenphysiker

  1. Re: Liebe Regierung...

    Mett | 16:47

  2. Re: Nur für Neukunden

    GenXRoad | 16:47

  3. Re: Sehr sicher...

    Flome1404 | 16:45

  4. Re: Ich benutze zwar kein Android

    tunnelblick | 16:45

  5. Re: 7000 sind ein Witz!

    Stefan99 | 16:45


  1. 15:46

  2. 15:02

  3. 14:09

  4. 13:37

  5. 13:26

  6. 12:26

  7. 12:12

  8. 12:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel