Original-URL des Artikels: https://www.golem.de/news/verschluesselung-sicherheitsluecke-bei-start-encrypt-1607-121900.html    Veröffentlicht: 04.07.2016 11:07    Kurz-URL: https://glm.io/121900

Verschlüsselung

Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Eine Sicherheitslücke in dem Dienst Start Encrypt ermöglicht das Ausstellen gültiger Zertifikate für URLs, die nicht unter der Kontrolle der Angreifer sind. Betreiber Startcom wurde über das Problem informiert und hat die Lücke mittlerweile geschlossen. Die Sicherheitslücken wurden von der niederländischen Sicherheitsfirma Computest gefunden.

Ähnlich wie Let's Encrypt bietet Start Encrypt kostenfreie einfache Zertifikate an, bei denen nur die Domain, nicht aber erweiterte Eigentümerinformationen geprüft werden. Bei der Domainprüfung ließ Start Encrypt jedoch offenbar auch Quellen zu, die außerhalb der zu überprüfenden Domain lagen. Nutzer müssen zum Beweis, dass sie eine Domain kontrollieren eine Datei unter der abzusichernden Domain platzieren. Doch offenbar genügte es, die entsprechende Datei bei Diensten wie Dropbox oder Github hochzuladen, weil die entsprechende Einstellung vom Client und nicht vom Start Encrypt-Server vorgegeben wurden und somit unter Kontrolle der Angreifer war.

Auch Umleitungen werden akzeptiert

Außerdem akzeptierte die API des Dienstes auch Weiterleitungen. Angreifer hätten demnach URLs mit Redirects eintragen können. Die Überprüfung der Datei am Ende der Weiterleitung wurde dabei von Start Encrypt ohne Beanstandung durchgeführt, gleichzeitig wurde ein gültiges Zertifikat für die URL im vorderen Teil ausgestellt. Nach Angaben der Entdecker ließen sich so gültige Zertifikate für Seiten wie Facebook.com ausstellen. Weil Facebook aber Certificate-Pinning einsetzt, können Angreifer keine Man-In-The-Middle-Angriffe durchführen.

Die Client-Software enthielt zahlreiche weitere Fehler. Aufgelistet wurden nach Angaben von Computest nur solche, die vom Betreiber schon geschlossen wurden. So soll der Client nicht die Validität des vom Start Encrypt-Server übermittelten Zertifikates überprüft haben. Außerdem wurden die Privaten Schlüssel der Nutzer mit der Berechtigung "Mode 0666" gespeichert, so dass alle lokalen Nutzer die Datei lesen und verändern können.

Anders als bei Let's Encrypt handet es sich bei Start-Encrypt-Betreiber Startcom um ein kommerzielles Unternehmen. Die Firma hat ihren Sitz in Eilat in Israel, wo es zahlreiche Tech-Startups gibt. Das Unternehmen hat die Clientsoftware wegen der zahlreichen Fehler vorläufig zurückgezogen.  (hg)


Verwandte Artikel:
Zertifikate: Startcom gibt auf   
(17.11.2017, https://glm.io/131205 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
Verschlüsselung: TLS 1.3 ist so gut wie fertig   
(16.02.2018, https://glm.io/132828 )
Media Player: Plexamp ist minimalistisch wie Winamp   
(27.12.2017, https://glm.io/131866 )

© 1997–2020 Golem.de, https://www.golem.de/