Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Die kostenlose Zertifizierungsstelle Wosign hatte offenbar mehrere Sicherheitslücken, die die unberechtigte Ausstellung von Zertifikaten ermöglichten. Unter anderem gelang es einem Systemadministrator, ein Zertifikat für github.io auszustellen, eine Ausstellung für github.com wäre ebenfalls möglich gewesen. Ein weiteres Zertifikat wurde für die Domain cloudapp.net von Microsoft ausgestellt.

Anzeige

Mozilla-Entwickler Gervase Markham schickte vor einigen Tagen einen Bericht über eine ganze Reihe von Vorfällen an die Security-Policy-Mailingliste von Mozilla.

Validierung für Subdomain ermöglicht Zertifikatsausstellung für Hauptdomain

Ein Systemadministrator an der University of Central Florida (UCF), Stephen Schrauger, versuchte im Juni 2015 versehentlich, ein Zertifikat für die Hauptdomain der Universität - www.ucf.edu - auszustellen. Eigentlich wollte er nur ein Zertifikat für Subdomains der medizinischen Fakultät - med.ucf.edu - beantragen. Für diese Subdomain hatte er den Domainvalidierungsprozess durchgeführt. Doch zu seiner Überraschung war es ihm trotzdem möglich, ein Zertifikat für die Universitätsdomain zu bekommen.

Diese Sicherheitslücke ließ sich auch bei Github ausnutzen. Nutzer können dort Subdomains unter der Domain github.io anlegen. Früher war es auch möglich, Subdomains unter github.com anzulegen - dort bereits bestehende Domains können weiterhin genutzt werden. Neue User können derartige Subdomains jedoch nicht mehr anlegen. Mittels einer solche Subdomain gelang es Schrauger, ein gültiges Zertifikat für github.io zu beantragen.

Schrauger war sich zunächst unsicher, wen er über diese Lücke informieren sollte. Nach einem Telefongespräch mit dem IT-Sicherheitsexperten Dan Kaminsky meldete Schrauger die Lücke an Wosign. Letztendlich wendete er sich an das Bug-Bounty-Programm von Github, Github informierte daraufhin Google und später auch Mozilla.

Laut Wosigns CEO Richard Wang waren von dieser Sicherheitslücke insgesamt 33 Zertifikate betroffen. Kritik gab es zunächst daran, dass Wang erklärte, die Zertifikate könnten nur revoked werden, wenn dies von den Kunden gewünscht wird. Später erklärte Wang jedoch, dass nun alle betroffenen Zertifikate zurückgezogen wurden.

Domainvalidierung über unpriviligierte Ports

Eine weitere Lücke bot im April 2015 offenbar die Möglichkeit, bei der Domainvalidierung unpriviligierte Ports zu nutzen. Eine der Methoden, mit denen Zertifizierungsstellen den Besitzer einer Domain prüfen, ist das Ablegen einer Datei mit einem Code auf dem HTTP-Server. Die Zertifizierungsstelle gibt dabei die URL und den Code vor. Bei Wosign war es möglich, den HTTP-Server auf einem Port mit einer hohen Portnummer zu betreiben. Ports kleiner als 1.024 lassen sich üblicherweise nur mit Root- oder Administratorrechten öffnen, auf höheren Ports kann jedoch auch ein normaler Useraccount einen Service betreiben. Somit konnte ein unpriviligierter Nutzer, der einen Account auf einem System besitzt, auf das eine Domain verweist, für diese Domain ein Zertifikat erzeugen. Laut Wang wurden 72 Zertifikate mit diesem Mechanismus ausgestellt.

Ein Problem in diesem Fall ist, dass zu dem Zeitpunkt die Richtlinien für Zertifizierungsstellen, die sogenannten Baseline Requirements, diese Praxis nicht eindeutig untersagten. Erst der Anfang August verabschiedete Ballot 169 klärt diese Frage eindeutig und verbietet die Nutzung unpriviligierter Portnummern.

Gehört Startcom jetzt Wosign? 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. Schwarz Business IT GmbH & Co. KG, Neckarsulm
  2. Robert Bosch GmbH, Bamberg
  3. ROHDE & SCHWARZ GmbH & Co. KG, Chemnitz
  4. Kommunales Rechenzentrum Niederrhein, Kamp-Lintfort


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  2. Kubic

    Opensuse startet Projekt für Container-Plattform

  3. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1

  4. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig

  5. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  6. Künstliche Intelligenz

    Alpha Go geht in Rente

  7. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  8. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  9. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  10. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Klingt nach Verharmlosung der Landminen...

    Lebostein | 13:48

  2. Re: Grauenvoller Test

    david_rieger | 13:48

  3. Re: offenkundig strafbare Inhalte

    throgh | 13:48

  4. Re: "Hass im Netz" klingt nach Zensur für mich

    Niaxa | 13:48

  5. Re: Erster!!!

    DetlevCM | 13:47


  1. 13:56

  2. 12:54

  3. 12:41

  4. 11:58

  5. 11:25

  6. 10:51

  7. 10:50

  8. 10:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel