Durch die Verletzung der Vertrauenswürdigkeit der Zertifizierungsstelle wird eine Sicherheitsanfälligkeit in den Vertrauenshierarchien des Internets aufgedeckt

[ware_item id=33][/ware_item]

Durch die Verletzung der Vertrauenswürdigkeit der Zertifizierungsstelle wird eine Sicherheitsanfälligkeit in den Vertrauenshierarchien des Internets aufgedeckt


Ende März 2015 gab es eine schwerwiegende Sicherheitsverletzung, die nicht autorisierte digitale Zertifikate betraf, die sich als Google ausgaben. Dieser Vorfall hat weitreichende Auswirkungen darauf, wie gewöhnliche Menschen entscheiden, wem sie im Internet vertrauen.

In diesem Beitrag versuchen wir zu erklären, warum dies für Endbenutzer wie Sie wichtig ist.

Was ist passiert, kurz gesagt

Google hat qualitativ hochwertige Fälschungen von SSL-Zertifikaten für Google-Domains festgestellt. Die Fälschungen waren so gut, dass sie die meisten Browser täuschen konnten. Möglicherweise ließen sie einen Angreifer die Identität von Google und anderen Domains vortäuschen. Möglicherweise täuschten sie sogar die Benutzer, ihre Passwörter preiszugeben. Zum Glück existierten die Fälschungen nur in einer geschlossenen Testumgebung.

Die Ausstellung derartiger gefälschter digitaler Zertifikate - auch in einer Testumgebung - dürfte dank der strengen Verfahren zur Überprüfung der Identität der Zertifikatsinhaber nahezu unmöglich sein. Die Tatsache, dass dies geschah, ist daher eine sehr große Sache, und es bedeutet, dass es wieder passieren kann und dass es wahrscheinlich schon einmal für andere Organisationen passiert ist, aber unbemerkt blieb.

Google reagiert, indem es seinen Google Chrome-Browser aktualisiert, um der betreffenden Zertifizierungsstelle (CNNIC) nicht mehr zu vertrauen. Es werden die Stammzertifikate des CNNIC von seinen Produkten entfernt. Mozilla (der Ersteller von Firefox) misstraut allen neuen CNNIC-Zertifikaten, bis CNNIC erneut erfolgreich für die Aufnahme in den Stammspeicher angemeldet wird.

Auffrischung: Folgendes passiert, wenn Sie eine Site mit einem gültigen SSL-Zertifikat besuchen

Es ist hilfreich, einen umfassenden Überblick darüber zu haben, was passiert, wenn wir eine Website mit https aufrufen und unser Browser ein grünes Häkchen oder ein Schloss anzeigt, das besagt, dass diese Website sicher ist.

  1. Sie geben https://www.google.com in Ihren Webbrowser ein.
  2. Ihr Webbrowser greift auf ein öffentliches Verzeichnis namens DNS zu, um festzustellen, welche IP-Adresse für die Kontaktaufnahme mit google.com verwendet werden soll.
  3. Ihr Webbrowser kontaktiert den Server unter der IP-Adresse, die er vom DNS erhalten hat.
  4. Der Server antwortet mit einem SSL-Zertifikat.
  5. Ihr Webbrowser verwendet dieses SSL-Zertifikat, um zwei sehr wichtige Dinge zu erreichen:
    1. Es bestätigt die Identität des Servers. In diesem Fall wird bestätigt, dass der Server wirklich von Google betrieben wird. und
    2. Es wird ein verschlüsselter Kommunikationskanal eingerichtet, sodass die zwischen dem Browser und dem Server gesendeten Daten verschlüsselt werden. Wer im Netzwerk zuhört, kann sehen, dass Sie mit Google kommunizieren, kann jedoch nicht in den Inhalt Ihrer Kommunikation schauen.

Wenn das SSL-Zertifikat gültig ist, zeigt Ihr Browser das bekannte grüne Häkchen oder Schloss in der Adressleiste an.

Ahh, das grüne Schloss.Ahh, das grüne Schloss.

Wenn es einem Angreifer jedoch gelungen ist, meinen Browser zur Kontaktaufnahme mit einem gefälschten Server zu verleiten, stellt Ihr Browser fest, dass das SSL-Zertifikat lautet ungültig, und es wird Ihnen eine Sicherheitswarnung angezeigt.

Folgendes passiert, wenn es sich bei dem SSL-Zertifikat um eine Fälschung hoher Qualität handelt (Hinweis: Ihr Browser merkt es nicht.)

Aus folgendem Grund ist die Ankündigung von Google so wichtig: MCI Holdings hat es geschafft, gefälschte SSL-Zertifikate für Google zu erstellen, die so realistisch waren, dass die meisten Webbrowser glauben konnten, eine Website auf einem gefälschten Server sei tatsächlich Google. Dies sollte im Idealfall niemals passieren. Aber wenn es so ist, würde es so aussehen:

  1. Sie geben https://www.google.com in Ihren Browser ein.
  2. Ein Angreifer täuscht Ihren DNS-Server vor, Ihnen die falsche IP-Adresse für google.com zu geben. Dies kann durch Ausnutzen von Fehlern in Ihrem Heimrouter, anderen Routern im Netzwerk, Fehlern im DNS-Server selbst (normalerweise von Ihrem ISP ausgeführt) oder auf verschiedene andere Arten geschehen.
  3. Ihr Webbrowser kontaktiert den gefälschten Server.
  4. Der gefälschte Server antwortet mit einem gefälschten SSL-Zertifikat. Das Zertifikat ist jedoch so hochwertig, dass Ihr Browser es für gültig hält.
  5. Ihr Browser zeigt das grüne Häkchen oder die Sperre in der Adressleiste an.
    1. Wenn das SSL-Zertifikat eine qualitativ hochwertige, nicht nachweisbare Fälschung ist, denken Sie und Ihr Browser, dass es sich tatsächlich um GMail handelt ...Wenn es sich bei dem SSL-Zertifikat um eine qualitativ hochwertige, nicht nachweisbare Fälschung handelt, denken Sie und Ihr Browser, dass es sich tatsächlich um GMail handelt.
  6. Sie geben Ihren Google-Nutzernamen und Ihr Google-Passwort in einen hochwertigen Klon von GMail ein und senden es damit an den Angreifer, der nun die Kontrolle über alle Ihre Google-Daten einschließlich Ihrer E-Mails, Dokumente, Fotos, Kontakte und sonstigen mit Ihrem Google-Konto verknüpften Daten erhält.

Wie entscheiden Webbrowser, ob ein SSL-Zertifikat überhaupt gültig ist??

Auf jedem Betriebssystem, Smartphone und Webbrowser ist eine Liste von einigen Dutzend Unternehmen oder Behörden vorinstalliert, deren digitale Signaturen automatisch vertrauenswürdig sind, sofern nicht anders konfiguriert (dazu später mehr). Diese vertrauenswürdigen Unternehmen werden als Zertifizierungsstellen (Certificate Authorities, CAs) bezeichnet und müssen detaillierte Kriterien erfüllen, um Teil dieser Liste zu sein.

Roots des Schlüsselbund-ZugriffssystemsSie können darauf zugreifen, indem Sie zu Spotlight wechseln > Schlüsselbundzugang > Systemwurzeln.

Wenn auf einer Website ein Zertifikat angezeigt wird, das von einer dieser vertrauenswürdigen Zertifizierungsstellen signiert wurde, interpretieren Webbrowser dies als "Ich sehe die Signatur dieser Zertifizierungsstelle, die ich als vertrauenswürdig vorkonfiguriert habe. Es hat das Zertifikat dieses Servers signiert. Das heißt, es hat die Leute hinter diesem Server überprüft und bestätigt, dass sie wirklich sind, wer sie zu sein behaupten. Daher vertraue ich auch diesem Zertifikat und zeige meinem Benutzer das grüne Häkchen oder die grüne Sperre. "

Es ist hilfreich, sich Zertifizierungsstellen als analog zu den zentralen vertrauenswürdigen Stellen vorzustellen, die Ausweisdokumente wie Pässe ausstellen. Wenn Sie einen Reisepass beantragen, müssen Sie Belege wie Ihre Geburtsurkunde, Ihren Führerschein und ein Foto mitbringen, und Sie müssen dies wahrscheinlich persönlich tun, damit sie überprüfen können, ob Sie die Person auf Ihrem Foto sind. Auf Reisen verwenden Sie Ihren Reisepass als Ausweis. Regierungen, Hotels und Fluggesellschaften vertrauen darauf, dass Sie die Person sind, für die Sie sich in Ihrem Reisepass ausweisen.

Sie können sich eine Zertifizierungsstelle analog zu einer ausstellenden Behörde vorstellen, und Sie können sich ein digitales Zertifikat als eine Art Reisepass oder Identitätsdokument für eine Website vorstellen. Pässe sind (idealerweise) schwer zu fälschen und haben ein Ablaufdatum. Ebenso sollten digitale Zertifikate (im Idealfall) schwer zu fälschen sein und über Ablaufdaten verfügen. Nach dem Ablaufdatum verlieren Pässe und digitale Zertifikate ihre Gültigkeit.

Wir können nicht als selbstverständlich ansehen, wem unsere Browser und Computer vertrauen

Möglicherweise kennen Sie einige der Zertifizierungsstellen, für die Ihr Computer automatisch als vertrauenswürdig vorkonfiguriert ist, z. B. Symantec und GoDaddy. Aber wussten Sie, dass Ihr Betriebssystem oder Browser möglicherweise Stammzertifikate für weit entfernte Organisationen wie das Hong Kong Post Office, eine Organisation aus den Niederlanden mit dem Namen Staat der Nederlanden Root CA und verschiedene Regierungen auf der ganzen Welt enthält? (Wenn Sie neugierig sind, finden Sie hier eine Liste der Organisationen, denen Firefox vertraut.).

Das Risiko ist, was passiert, wenn eine dieser Zertifizierungsstellen a unterzeichnet geschmiedet Zertifikat eines Imitators durch Fahrlässigkeit (was anscheinend beim CNNIC / MCS Holdings / Google-Debakel passiert ist) oder möglicherweise sogar durch Böswilligkeit.

Ist es Zeit zu überdenken, wem wir im Internet vertrauen??

Vertrauen im Internet fließt transitiv. Wir vertrauen den Entwicklern unserer Betriebssysteme und unserer Webbrowser. Wir vertrauen den Unternehmen wie Google, die unsere Daten im Internet verarbeiten. Wir vertrauen darauf, dass mehrere Zertifizierungsstellen die Identität verschiedener Websites sorgfältig überprüfen und SSL-Zertifikate nur an ihre rechtmäßigen Eigentümer ausstellen.

Der Fall der gefälschten Google-Zertifikate zeigt, wie wichtig es ist, zu überprüfen, welchen Zertifizierungsstellen unsere Browser wirklich vertrauen müssen. Je nachdem, welche Websites Sie normalerweise besuchen, ist die Menge der Zertifizierungsstellen, auf die Sie sich tatsächlich verlassen, möglicherweise viel kleiner als die Menge, die auf Ihrem Computer als vorab vertrauenswürdig eingestuft ist.

Folgendes können Sie dagegen tun:

  1. Deaktivieren Sie möglicherweise einige der auf Ihrem Computer vorkonfigurierten Stammzertifikate. Wenn Sie beispielsweise normalerweise keine Websites in den Niederlanden durchsuchen, ist es wahrscheinlich ratsam, die Berechtigung "Regierung der Niederlande, PKIoverheid" zu deaktivieren, der Ihr Browser derzeit wahrscheinlich vertraut. Wir empfehlen außerdem, das Stammzertifikat für CNNIC zu deaktivieren.
  2. Erwägen Sie, Chrome als Standardbrowser festzulegen, da Google nachweislich wachsam ist und umgehend auf Vertrauensbrüche reagiert.
  3. Folgen Sie Projekten wie dem Certificate Transparency Project von Google, das eine technische Lösung entwickelt, um gefälschte Zertifikate schneller zu erkennen. In den kommenden Monaten und Jahren werden solche Projekte Plugins und Verbesserungen für Browser und Betriebssysteme erstellen, um einige dieser Probleme zu lösen. Diese Lösungen sind jedoch derzeit noch nicht vollständig verfügbar.
  4. Denken Sie in der Zwischenzeit daran, ein VPN zu verwenden. Es schützt Sie vor einigen Möglichkeiten, wie ein Angreifer versuchen könnte, ein gefälschtes SSL-Zertifikat für Sie zu verwenden. Zum Beispiel macht es das VPN einem Angreifer sehr viel schwerer, Ihre DNS-Ergebnisse zu manipulieren.

Weitere Lektüre:

Was sind Zertifizierungsstellen? & Vertrauenshierarchien? | GlobalSign
Google Certificate Transparency Project

Durch die Verletzung der Vertrauenswürdigkeit der Zertifizierungsstelle wird eine Sicherheitsanfälligkeit in den Vertrauenshierarchien des Internets aufgedeckt
admin Author
Sorry! The Author has not filled his profile.