Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Mehrere Betreiber von Zertifizierungsstellen stehen vor einem größeren Problem. Zertifikate wurden aufgrund eines Fehlers nicht nach den geltenden Regeln ausgestellt, ihre Seriennummern sind nicht zufällig genug. Der Hintergrund ist ein subtiler Fehler.

Stellenmarkt

1. Mercer Timber Products GmbH, Saalburg-Ebersdorf
2. Darlehenskasse der Studierendenwerke e.V., Köln

Die sogenannten Baseline Requirements, ein Regelwerk des CA/Browser-Forums, welches festlegt, wie TLS-Zertifizierungsstellen arbeiten sollen, sieht vor, dass die Seriennummern von Zertifikaten zufällig erzeugt werden sollen und dabei mindestens 64 Bit Zufallsdaten einfließen.

63 statt 64 Bit

Das Problem ist nun Folgendes: Offenbar haben viele Zertifizierungsstellen eine 64-Bit-Integer-Zahl als Seriennummer verwendet. Klingt richtig, ist aber falsch: Denn eine Integer-Zahl kann auch negativ sein, eine Zertifikatsseriennummer darf aber keine negative Zahl sein. Damit fällt die Hälfte der Möglichkeiten weg - und übrig bleibt effektiv eine 63-Bit-Zahl.

Aufgefallen ist das zunächst bei der Zertifizierungsstelle Dark Matter, die aufgrund eines Reuters-Berichts über deren Kooperation mit dem Geheimdienst der Vereinigten Arabischen Emirate äußerst umstritten ist. Doch inzwischen stellte sich heraus, dass das Problem mit den Zertifikatsseriennummern eine ganze Reihe von Zertifizierungsstellen betrifft, darunter Google, Apple und Go Daddy.

Das Problem ist demnach ursprünglich auf die Software EJBCA zurückzuführen, die in der Standardeinstellung dieses Verhalten zeigt. EJBCA ist Open Source und wird von mehreren Zertifizierungsstellen verwendet, es ist daher auch gut möglich, dass demnächst bei weiteren Zertifizierungsstellen dasselbe Problem entdeckt wird.

Angriffe auf MD5 mit vorhersehbaren Seriennummern

Die Hintergründe für die zufälligen Seriennummern sind ältere Angriffe auf schwache Hashfunktionen. 2008 gelang es einem Forscherteam, sich mit Hilfe von Schwächen der MD5-Hashfunktion ein nicht legitimes Zertifikat signieren zu lassen. Der Angriff war aber nur möglich, wenn man den kompletten Inhalt eines Zertifikats samt Seriennummer vorab wusste. Die angegriffene Zertifizierungsstelle nutzte aufsteigende Seriennummern, damit war es den Forschern möglich, die Seriennummer vorab zu erraten.

Um solche Angriffe zu vereiteln, hat man daher die Regel mit den zufälligen Seriennummern eingeführt. Doch die praktischen Auswirkungen sind heute gering. Der Angriff war nur möglich, weil Zertifizierungsstellen Jahre, nachdem MD5 gebrochen wurde, diese unsichere Hashfunktion weiter verwendet haben. Theoretisch wäre - mit deutlich höherem Aufwand - ein solcher Angriff auch mit SHA1 denkbar, doch auch SHA1 wird nicht mehr für Zertifikate genutzt.

Bei sicherer Hashfunktion kein Risiko

Heutzutage werden Zertifikate nur noch mit SHA256 ausgestellt. Eine zufällige Seriennummer kann man zwar immer noch für sinnvoll halten - für den Fall, dass sich SHA256 irgendwann ebenfalls als unsicher erweist -, aber ein akutes Risiko gibt es nicht. Zudem führt der Fehler ja nicht dazu, dass vorhersehbare Seriennummern verwendet werden, sie sind lediglich ein Bit weniger zufällig.

Ein praktisches Sicherheitsrisiko besteht also durch die nicht nach den Regeln ausgestellten Zertifikate praktisch nicht. Doch die Baseline Requirements sehen vor, dass Zertifikate, die sich nicht an Regeln halten, zurückgezogen werden sollen - und das im Normalfall sogar innerhalb von 24 Stunden.

Für Google und Apple ist ein Austausch der Zertifikate noch relativ leicht machbar, da sie diese nur für ihre eigenen Services nutzen. Ein größeres Problem hat Go Daddy. Dort wurden nach eigenen Angaben mindestens 1,8 Millionen Zertifikate falsch ausgestellt. Verständlicherweise dürfte es zu größeren Problemen führen, dort alle Kunden innerhalb kurzer Zeit darüber zu informieren, dass sie ihre Zertifikate tauschen müssen. Go Daddy strebt an, die Zertifikate innerhalb von 30 Tagen zurückzuziehen, was schon sehr ambitioniert erscheint.

Soll man die Regeln streng einhalten, auch wenn kein Risiko besteht?

Letztendlich stellt sich bei dem Vorfall die Frage, ob es in solchen Fällen sinnvoll ist, streng auf die Regeln zu pochen. Ein praktisches Risiko besteht nicht. Doch viele mit dem Zertifikatsgeschäft vertraute Personen haben verständliche Vorbehalte gegen einen laxen Umgang mit Regeln.

Wer die entsprechende Mailingliste von Mozilla verfolgt, auf der derartige Vorfälle diskutiert werden, weiß, dass Regelverletzungen immer noch eher die Regel als die Ausnahme sind. Viele davon sind technisch harmlos, aber genau die Zertifizierungsstellen, die sich häufig nicht an scheinbar unwichtige Regeln halten, sind dann auch häufig diejenigen, bei denen eher echte Sicherheitsprobleme auftauchen.