Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

Artikel veröffentlicht am , Hanno Böck
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden.
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden. (Bild: Robert Freiberger/Wikimedia Commons/CC-BY 2.0)

Mehrere Betreiber von Zertifizierungsstellen stehen vor einem größeren Problem. Zertifikate wurden aufgrund eines Fehlers nicht nach den geltenden Regeln ausgestellt, ihre Seriennummern sind nicht zufällig genug. Der Hintergrund ist ein subtiler Fehler.

Die sogenannten Baseline Requirements, ein Regelwerk des CA/Browser-Forums, welches festlegt, wie TLS-Zertifizierungsstellen arbeiten sollen, sieht vor, dass die Seriennummern von Zertifikaten zufällig erzeugt werden sollen und dabei mindestens 64 Bit Zufallsdaten einfließen.

63 statt 64 Bit

Das Problem ist nun Folgendes: Offenbar haben viele Zertifizierungsstellen eine 64-Bit-Integer-Zahl als Seriennummer verwendet. Klingt richtig, ist aber falsch: Denn eine Integer-Zahl kann auch negativ sein, eine Zertifikatsseriennummer darf aber keine negative Zahl sein. Damit fällt die Hälfte der Möglichkeiten weg - und übrig bleibt effektiv eine 63-Bit-Zahl.

Aufgefallen ist das zunächst bei der Zertifizierungsstelle Dark Matter, die aufgrund eines Reuters-Berichts über deren Kooperation mit dem Geheimdienst der Vereinigten Arabischen Emirate äußerst umstritten ist. Doch inzwischen stellte sich heraus, dass das Problem mit den Zertifikatsseriennummern eine ganze Reihe von Zertifizierungsstellen betrifft, darunter Google, Apple und Go Daddy.

Das Problem ist demnach ursprünglich auf die Software EJBCA zurückzuführen, die in der Standardeinstellung dieses Verhalten zeigt. EJBCA ist Open Source und wird von mehreren Zertifizierungsstellen verwendet, es ist daher auch gut möglich, dass demnächst bei weiteren Zertifizierungsstellen dasselbe Problem entdeckt wird.

Angriffe auf MD5 mit vorhersehbaren Seriennummern

Die Hintergründe für die zufälligen Seriennummern sind ältere Angriffe auf schwache Hashfunktionen. 2008 gelang es einem Forscherteam, sich mit Hilfe von Schwächen der MD5-Hashfunktion ein nicht legitimes Zertifikat signieren zu lassen. Der Angriff war aber nur möglich, wenn man den kompletten Inhalt eines Zertifikats samt Seriennummer vorab wusste. Die angegriffene Zertifizierungsstelle nutzte aufsteigende Seriennummern, damit war es den Forschern möglich, die Seriennummer vorab zu erraten.

Um solche Angriffe zu vereiteln, hat man daher die Regel mit den zufälligen Seriennummern eingeführt. Doch die praktischen Auswirkungen sind heute gering. Der Angriff war nur möglich, weil Zertifizierungsstellen Jahre, nachdem MD5 gebrochen wurde, diese unsichere Hashfunktion weiter verwendet haben. Theoretisch wäre - mit deutlich höherem Aufwand - ein solcher Angriff auch mit SHA1 denkbar, doch auch SHA1 wird nicht mehr für Zertifikate genutzt.

Bei sicherer Hashfunktion kein Risiko

Heutzutage werden Zertifikate nur noch mit SHA256 ausgestellt. Eine zufällige Seriennummer kann man zwar immer noch für sinnvoll halten - für den Fall, dass sich SHA256 irgendwann ebenfalls als unsicher erweist -, aber ein akutes Risiko gibt es nicht. Zudem führt der Fehler ja nicht dazu, dass vorhersehbare Seriennummern verwendet werden, sie sind lediglich ein Bit weniger zufällig.

Ein praktisches Sicherheitsrisiko besteht also durch die nicht nach den Regeln ausgestellten Zertifikate praktisch nicht. Doch die Baseline Requirements sehen vor, dass Zertifikate, die sich nicht an Regeln halten, zurückgezogen werden sollen - und das im Normalfall sogar innerhalb von 24 Stunden.

Für Google und Apple ist ein Austausch der Zertifikate noch relativ leicht machbar, da sie diese nur für ihre eigenen Services nutzen. Ein größeres Problem hat Go Daddy. Dort wurden nach eigenen Angaben mindestens 1,8 Millionen Zertifikate falsch ausgestellt. Verständlicherweise dürfte es zu größeren Problemen führen, dort alle Kunden innerhalb kurzer Zeit darüber zu informieren, dass sie ihre Zertifikate tauschen müssen. Go Daddy strebt an, die Zertifikate innerhalb von 30 Tagen zurückzuziehen, was schon sehr ambitioniert erscheint.

Soll man die Regeln streng einhalten, auch wenn kein Risiko besteht?

Letztendlich stellt sich bei dem Vorfall die Frage, ob es in solchen Fällen sinnvoll ist, streng auf die Regeln zu pochen. Ein praktisches Risiko besteht nicht. Doch viele mit dem Zertifikatsgeschäft vertraute Personen haben verständliche Vorbehalte gegen einen laxen Umgang mit Regeln.

Wer die entsprechende Mailingliste von Mozilla verfolgt, auf der derartige Vorfälle diskutiert werden, weiß, dass Regelverletzungen immer noch eher die Regel als die Ausnahme sind. Viele davon sind technisch harmlos, aber genau die Zertifizierungsstellen, die sich häufig nicht an scheinbar unwichtige Regeln halten, sind dann auch häufig diejenigen, bei denen eher echte Sicherheitsprobleme auftauchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Programmiersprache
Das ändert sich in Go 1.20

Im Februar erscheint Go in der Version 1.20. Wir geben eine Übersicht über die wichtigsten Neuerungen.
Von Tim Scheuermann

Programmiersprache: Das ändert sich in Go 1.20
Artikel
  1. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. Lara Croft im Fernsehen: Amazon plant Serie zu Tomb Raider
    Lara Croft im Fernsehen
    Amazon plant Serie zu Tomb Raider

    Lara Croft könnte nach mehreren Spieleverfilmungen zur Fernsehheldin werden. Das Drehbuch dazu soll Phoebe Waller-Bridge schreiben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /