Forscher demonstrieren Ausstellung von falschen Webzertifikaten

Forscher demonstrieren Ausstellung von falschen Webzertifikaten

Forscher demonstrieren Ausstellung von falschen Webzertifikaten

(Quelle: NTT Security)
13. September 2018 -  Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat einen Weg gefunden, betrügerische Website-Zertifikate auszustellen, die eigentlich die Vertrauenswürdigkeit von Domains sicherstellen sollen.
Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben eine Methode demonstriert, mit der sich betrügerische Website-Zertifikate ausstellen lassen. Das Team hat gezeigt, dass sich dafür eine Schwachstelle in der Domänenvalidierung nutzen lässt. Die Forscher haben betroffene Web-CAs (Certificate Authorities) informiert und schlagen eine neue Implementierung vor, mit der Web-CAs den Angriff abschwächen können.

Web-Zertifikate stellen die Grundlage für das SSL/TLS-Protokoll dar, welches die meisten Websites schützt. Wenn eine Website ein gültiges Zertifikat enthält, signalisiert der Browser des Benutzers dem Benutzer, dass die Identität der Website überprüft wurde und vertrauenswürdig ist, etwa durch die Anzeige eines grünen Vorhängeschlosses vor der URL.

Zertifikate werden von so genannten Web-CAs ausgestellt, und praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu überprüfen, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat nun demonstriert, dass die Domain-Validierung grundsätzlich fehlerhaft ist, und sich viele Web-CAs dazu bringen lassen, betrügerische Zertifikate auszustellen.
Dazu nutzte das Team eine Reihe bekannter Schwachstellen im Domain Name System (DNS). Sicherheitsforscher waren sich dieser Schwachstellen im DNS und ihrer möglichen Auswirkungen auf die Domänenvalidierung durchaus bewusst, aber bisher galt dies als eher theoretisches Risiko. Das Team zeigte erstmals, dass dieses Risiko tatsächlich sehr real ist. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", so Haya Shulman vom Fraunhofer SIT.

Das Team informierte die deutschen Sicherheitsbehörden und Web CAs. Als Gegenmassnahme entwickelten die Forscher eine verbesserte Version von DV, genannt DV++, die DV ohne weitere Änderungen ersetzen könnte und die unter https://www.sit.fraunhofer.de/en/dvpp/ kostenlos zur Verfügung gestellt wird. Ein Forschungspapier, das die Details dieses Angriffs sowie DV++ beschreibt, soll auf der ACM Conference on Computer and Communications Security (ACM CCS) in Toronto, Kanada, im Oktober 2018 vorgestellt werden. (swe)
Weitere Artikel zum Thema
 • Firefox: TLS-Zertifikate von Symantec nicht vertrauenswürdig
 • Schadcode über D-Link-Zertifikate verbreitet
 • Chrome zieht durch: Symantec-Zertifikate in direkter Gefahr

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2018/09
Schwerpunkt: Security 2018
• Cyber-Angriffe entwickeln sich enorm schnell
• Den Tätern auf der Spur
• Viel hilft viel
• "Die eigene Gefährdung wird häufig unterschätzt"
• Marktübersicht: Schweizer Security-Dienstleister
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER