Original-URL des Artikels: https://www.golem.de/news/https-us-cert-warnt-vor-man-in-the-middle-boxen-1703-126876.html    Veröffentlicht: 22.03.2017 18:06    Kurz-URL: https://glm.io/126876

HTTPS

US-Cert warnt vor Man-In-The-Middle-Boxen

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

Das US-Cert warnt in einer aktuellen Mitteilung vor HTTPS-Interception-Geräten. Diese werden vor allem in Unternehmensnetzwerken eingesetzt und sollen eine Analyse des verschlüsselten Traffics durch Virenscanner und andere sogenannte Sicherheitssoftwares ermöglichen. Solche Man-In-The-Middle-Angriffe auf die Verschlüsselung bringen allerdings Sicherheitsprobleme mit sich.

Das Computer-Emergency-Response-Team kritisiert, dass der Einsatz entsprechender Geräte potenzielle Sicherheitsgefahren für die Nutzer in den dahinterliegenden Netzwerken mit sich bringt, insbesondere weil der Vorgang für die Nutzer meist nicht transparent dargestellt werde. So könne es zum Beispiel sein, dass ein MITM-Gerät unsichere Cipher mit einem TLS-fähigen Server aushandele, ohne dass der Nutzer davon etwas mitbekommt.

Zertifikatskette wird nur unzureichend geprüft

Außerdem würde die Zertifikatskette durch die Geräte oft nur unvollständig geprüft, was weitere Man-In-The-Middle-Angriffe durch andere Akteure ermöglichen könnte. Das Cert beruft sich außerdem auf eine kürzlich veröffentlichte Studie, deren Autoren unter anderem kritisiert hatten, dass keines der untersuchten Geräte zusätzliche Sicherheitsfeatures wie HTTP Public Key Pinning, Certificate Transparency und OCSP-Stapling unterstütze.

Das Cert fordert Unternehmen auf, die genutzten Geräte zu testen und etwa über die Seite Badssl.com nach veralteten Ciphern und anderen Schwachstellen zu suchen.

Tatsächlich kommen in vielen Unternehmen veraltete Geräte zum Einsatz. Die Ausmusterung von SHA-1 Zertifikaten in Firefox musste zum Beispiel verschoben werden, weil zahlreiche MITM-Proxys in Unternehmen den geöffneten Traffic mit diesen Zertifikaten wieder verschlüsseln, um ihn dann an die Nutzer weiterzuleiten. SHA-1 gilt nicht erst seit dem erfolgreichen Kollisionsangriff als unsicher und sollte nicht mehr verwendet werden.  (hg)


Verwandte Artikel:
HSTS: Facebook verschlüsselt alle ausgehenden Links, wenn möglich   
(06.03.2018, https://glm.io/133157 )
IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen   
(02.11.2017, https://glm.io/130938 )
Dateiaustausch: Chrome 63 erklärt FTP-Verbindungen für unsicher   
(19.09.2017, https://glm.io/130123 )
Adware: Lenovo zahlt Millionenstrafe wegen Superfish   
(06.09.2017, https://glm.io/129903 )
Hotspot Shield: VPN-Provider soll Nutzer per Javascript ausspionieren   
(08.08.2017, https://glm.io/129361 )

© 1997–2019 Golem.de, https://www.golem.de/