Angriff auf TLS-Zertifikatssystem möglich

von Wolfgang Schneider | 0 | 1680 Aufrufe

Anzeige Hier werben

Nachdem das TLS-Zertifikat bisher als sicherer Nachfolger der SSL-Zertifikate gilt, haben Sicherheitsforscher auf der diesjährigen Black Hat Sicherheitskonferenz ein gravierendes Problem bei vielen TLS-Zertifizierungsstellen aufgedeckt. Diese Stellen prüfen die Eigentümerschaft einer Domain oft über ungesicherte Netzwerke. Das Gravierende: Mittels eines Routingprotokolls (BGP) sind Angriffe auf diese Netzwerke möglich.

Inzwischen sind TLS-Zertifikate ein wichtiges Element bei der Verschlüsselung von sensiblen Kundendaten über das https-Protokoll. Hier hat sich nun herausgestellt, dass der Weg, wie Zertifizierungsstellen die Eigentümerschaft einer Domain prüfen, äussert fragil ist. In den meisten Fällen wird die Eigentümerschaft einer Domain nachgewiesen, indem eine Bestätigung über diverse Email-Adressen mit bestimmten Prefixen wie webmaster@ oder hostmaster@ durchgeführt wird. Bei anderen Zertifizierungsstellen muss eine entsprechende Bestätigunsdatei auf dem Webserver hinterlegt werden. Diese Verfahren sind dabei nicht verschlüsselt und gehen immer davon aus, dass eine Domain auch immer von einem legitimierten Besitzer verwaltet wird.

Ein Angriff auf dieses Bestätigungssystem ist so relativ einfach über ein sogenanntes Routingprotokoll (BGP) möglich. Dieses Protokoll dient im Internet dazu, um das Routing zwischen den verschiedenen Providern zu ermöglichen. Hier muss ein Angreifer lediglich einen BGP-Knoten in der Nähe einer dieser Zertifizierungsstellen unter seine Kontrolle bringen. Über eine Umleitung des Datenverkehrs kann so dem Netzwerk beispielsweise vorgegaukelt werden, dass der Angreifer der Besitzer der entsprechend Domain ist. Dieser kann so dann einen offiziellen Verifizierungsvorgang starten oder aber manipulierte Daten an die Provider über http ausliefern.

Über den Autor: Wolfgang Schneider
Online Marketeer & Projektmanager bei Team23 in Augsburg. Netzkind der ersten Stunde und Photoshopjunky. Seit über 10 Jahren im Bereich Design, Entwicklung & Online-Marketing tätig.
Profilseite betrachten