Forscher demonstrieren Ausstellung von falschen Webzertifikaten
Quelle: NTT Security

Forscher demonstrieren Ausstellung von falschen Webzertifikaten

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat einen Weg gefunden, betrügerische Website-Zertifikate auszustellen, die eigentlich die Vertrauenswürdigkeit von Domains sicherstellen sollen.
13. September 2018

     

Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben eine Methode demonstriert, mit der sich betrügerische Website-Zertifikate ausstellen lassen. Das Team hat gezeigt, dass sich dafür eine Schwachstelle in der Domänenvalidierung nutzen lässt. Die Forscher haben betroffene Web-CAs (Certificate Authorities) informiert und schlagen eine neue Implementierung vor, mit der Web-CAs den Angriff abschwächen können.

Web-Zertifikate stellen die Grundlage für das SSL/TLS-Protokoll dar, welches die meisten Websites schützt. Wenn eine Website ein gültiges Zertifikat enthält, signalisiert der Browser des Benutzers dem Benutzer, dass die Identität der Website überprüft wurde und vertrauenswürdig ist, etwa durch die Anzeige eines grünen Vorhängeschlosses vor der URL.


Zertifikate werden von so genannten Web-CAs ausgestellt, und praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu überprüfen, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat nun demonstriert, dass die Domain-Validierung grundsätzlich fehlerhaft ist, und sich viele Web-CAs dazu bringen lassen, betrügerische Zertifikate auszustellen.
Dazu nutzte das Team eine Reihe bekannter Schwachstellen im Domain Name System (DNS). Sicherheitsforscher waren sich dieser Schwachstellen im DNS und ihrer möglichen Auswirkungen auf die Domänenvalidierung durchaus bewusst, aber bisher galt dies als eher theoretisches Risiko. Das Team zeigte erstmals, dass dieses Risiko tatsächlich sehr real ist. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", so Haya Shulman vom Fraunhofer SIT.


Das Team informierte die deutschen Sicherheitsbehörden und Web CAs. Als Gegenmassnahme entwickelten die Forscher eine verbesserte Version von DV, genannt DV++, die DV ohne weitere Änderungen ersetzen könnte und die unter https://www.sit.fraunhofer.de/en/dvpp/ kostenlos zur Verfügung gestellt wird. Ein Forschungspapier, das die Details dieses Angriffs sowie DV++ beschreibt, soll auf der ACM Conference on Computer and Communications Security (ACM CCS) in Toronto, Kanada, im Oktober 2018 vorgestellt werden. (swe)


Weitere Artikel zum Thema

Firefox: TLS-Zertifikate von Symantec nicht vertrauenswürdig

27. August 2018 - Mozillas Browser Firefox stuft TLS-Zertifikate von Symantec in der aktuellen Nightly-Version als nicht vertrauenswürdig ein. Der Browser warnt die Nutzer, wenn diese Webseiten mit entsprechenden Zertifikaten aufrufen.

Schadcode über D-Link-Zertifikate verbreitet

12. Juli 2018 - Der Security-Experte Eset hat diverse Malware-Dateien entdeckt, die ein Zertifikat des Netzwerkproduzenten D-Link trugen. Nachdem Eset D-Link darüber informierte, zog der Hersteller das Zertifikat zurück. Die Malware heisst Plead und sucht nach Passwörtern für unter anderem Outlook, Firefox, IE und Chrome.

Chrome zieht durch: Symantec-Zertifikate in direkter Gefahr

8. März 2018 - Google Chrome macht Ernst mit dem angekündigten Vertrauensentzug von abgelaufenen SSL-Zertifikaten. Besitzer älterer Zertifikate von Symantec, Thawte und Geotrust sollten diese schnellstmöglich austauschen. Google sanktioniert mit der Aktion Symantec, da der Dienst tausende Domains mit unberechtigten Zertifikaten versehen hatte.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER