Abo
  • Services:

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Artikel veröffentlicht am , Hanno Böck
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Die kostenlose Zertifizierungsstelle Wosign hatte offenbar mehrere Sicherheitslücken, die die unberechtigte Ausstellung von Zertifikaten ermöglichten. Unter anderem gelang es einem Systemadministrator, ein Zertifikat für github.io auszustellen, eine Ausstellung für github.com wäre ebenfalls möglich gewesen. Ein weiteres Zertifikat wurde für die Domain cloudapp.net von Microsoft ausgestellt.

Inhalt:
  1. Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus
  2. Gehört Startcom jetzt Wosign?
  3. Künftig alle Wosign-Zertifikate in Certificate Transparency

Mozilla-Entwickler Gervase Markham schickte vor einigen Tagen einen Bericht über eine ganze Reihe von Vorfällen an die Security-Policy-Mailingliste von Mozilla.

Validierung für Subdomain ermöglicht Zertifikatsausstellung für Hauptdomain

Ein Systemadministrator an der University of Central Florida (UCF), Stephen Schrauger, versuchte im Juni 2015 versehentlich, ein Zertifikat für die Hauptdomain der Universität - www.ucf.edu - auszustellen. Eigentlich wollte er nur ein Zertifikat für Subdomains der medizinischen Fakultät - med.ucf.edu - beantragen. Für diese Subdomain hatte er den Domainvalidierungsprozess durchgeführt. Doch zu seiner Überraschung war es ihm trotzdem möglich, ein Zertifikat für die Universitätsdomain zu bekommen.

Diese Sicherheitslücke ließ sich auch bei Github ausnutzen. Nutzer können dort Subdomains unter der Domain github.io anlegen. Früher war es auch möglich, Subdomains unter github.com anzulegen - dort bereits bestehende Domains können weiterhin genutzt werden. Neue User können derartige Subdomains jedoch nicht mehr anlegen. Mittels einer solche Subdomain gelang es Schrauger, ein gültiges Zertifikat für github.io zu beantragen.

Stellenmarkt
  1. Lachmann & Rink Ingenieurgesellschaft für Prozeßrechner- und Mikrocomputeranwendungen mbH, Freudenberg und Dortmund
  2. Noerr LLP, Hamburg

Schrauger war sich zunächst unsicher, wen er über diese Lücke informieren sollte. Nach einem Telefongespräch mit dem IT-Sicherheitsexperten Dan Kaminsky meldete Schrauger die Lücke an Wosign. Letztendlich wendete er sich an das Bug-Bounty-Programm von Github, Github informierte daraufhin Google und später auch Mozilla.

Laut Wosigns CEO Richard Wang waren von dieser Sicherheitslücke insgesamt 33 Zertifikate betroffen. Kritik gab es zunächst daran, dass Wang erklärte, die Zertifikate könnten nur revoked werden, wenn dies von den Kunden gewünscht wird. Später erklärte Wang jedoch, dass nun alle betroffenen Zertifikate zurückgezogen wurden.

Domainvalidierung über unpriviligierte Ports

Eine weitere Lücke bot im April 2015 offenbar die Möglichkeit, bei der Domainvalidierung unpriviligierte Ports zu nutzen. Eine der Methoden, mit denen Zertifizierungsstellen den Besitzer einer Domain prüfen, ist das Ablegen einer Datei mit einem Code auf dem HTTP-Server. Die Zertifizierungsstelle gibt dabei die URL und den Code vor. Bei Wosign war es möglich, den HTTP-Server auf einem Port mit einer hohen Portnummer zu betreiben. Ports kleiner als 1.024 lassen sich üblicherweise nur mit Root- oder Administratorrechten öffnen, auf höheren Ports kann jedoch auch ein normaler Useraccount einen Service betreiben. Somit konnte ein unpriviligierter Nutzer, der einen Account auf einem System besitzt, auf das eine Domain verweist, für diese Domain ein Zertifikat erzeugen. Laut Wang wurden 72 Zertifikate mit diesem Mechanismus ausgestellt.

Ein Problem in diesem Fall ist, dass zu dem Zeitpunkt die Richtlinien für Zertifizierungsstellen, die sogenannten Baseline Requirements, diese Praxis nicht eindeutig untersagten. Erst der Anfang August verabschiedete Ballot 169 klärt diese Frage eindeutig und verbietet die Nutzung unpriviligierter Portnummern.

Gehört Startcom jetzt Wosign? 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 131,98€ (beide Artikel in den Warenkorb legen, um 60€ Direktabzug zu erhalten. Einzelpreise im...
  2. 172,98€ (beide Artikel in den Warenkorb legen, um 60€ Direktabzug zu erhalten. Einzelpreise im...
  3. (zusammen mit G703/903 Lightspeed in den Warenkorb legen, um 60€ Direktabzug zu erhalten)
  4. 699€ statt 1.199€ im Vergleich

negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...


Folgen Sie uns
       


Dark Souls Remastered - Livestream

Erst mit der Platin-Trophäe in Bloodborne große Töne spucken und dann? - Der Dark-Souls-Effekt trifft Golem.de-Redakteur Michael Wieczorek mitten ins Streamer-Herz.

Dark Souls Remastered - Livestream Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
    Sonnet eGFX Box 650 im Test
    Wenn die Vega 64 am Thinkpad rechnet

    Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Razer Core X eGPU-Box kostet 300 Euro
    2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
    3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

    BMW i3s im Test: Teure Rennpappe à la Karbonara
    BMW i3s im Test
    Teure Rennpappe à la Karbonara

    Mit dem neuen BMW i3s ist man zügig in der Stadt unterwegs. Zwar ist der Kleinwagen gut vernetzt, doch die Assistenzsysteme lassen immer noch zu wünschen übrig. Trotz des hohen Preises.
    Ein Praxistest von Friedhelm Greis

    1. R71-Seitenwagen BMW-Motorrad aus den 30er Jahren soll elektrifiziert werden
    2. SUV Concept iX3 zeigt BMWs elektrische Zukunft
    3. BMW Mini-Oldtimer mit E-Antrieb ausgerüstet

      •  /