Aussteller von Domain-Zertifikaten lassen sich austricksen

Eigentlich sollen Web-Zertifikate die Vertrauenswürdigkeit einer Internet-Domain sicherstellen und sie sind die Grundlage des SSL-/TLS-Protokolls. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigte nun auf, dass man betrügerische Zertifikate mit viel weniger Aufwand nutzen kann als bislang angenommen.
 
Offenbar gibt es diverse Lücke in der Domänenvalidierung, die man ausnutzen kann, beziehungsweise, schlimmer, die Domain Validation (DV) ist "grundsätzlich fehlerhaft", so die Security-Forscher. DV ist das am meisten eingesetzte Prüfverfahren.
 
Konkret können Kriminelle viele Zertifikats-Ausgabestellen (Web-CAs) derart täuschen, dass diese als autorisierte Organisation fälschlicherweise Zertifikate ausgeben. Dabei geht es nicht nur um skurrile Domains, sondern um jede. Also können Kriminelle unberechtigterweise ein gültiges Zertifikat im Namen eines renommierten Online-Shops erhalten und sich in der Folge mit einem visuell identischen Shop als dessen Betreiber ausgeben, beschreiben die Forscher ein Beispiel. In diesem Falle wird bei der URL ein grünes Vorhängeschloss zu sehen sein wie beim richtigen Anbieter.
 
SSL-/TLS-Protokolle schützen aber auch Mailanbieter, geschäftliche Anwendungen oder E-Banking-Sites. Diese sind von der Lücke ebenfalls betroffen.
 
Die Lücke ist noch gravierender wegen eines weiteren Aspekts: "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", erklärt die leitende Security-Forscherin Haya Shulman vom Fraunhofer SIT.
 
Last, but not least, werden Vorwürfe laut, das zugrundeliegende DV-Problem sei seit Jahren bekannt, aber von den Web-CAs nicht gelöst worden. Dies obwohl die Namensauflösung via DNS eine der wichtigsten Säulen des Internets darstellt.
Shulmans Team hat nun die deutschen Sicherheitsbehörden und Web-CAs informiert. Und sie haben eine verbesserte Version von DV entwickelt, die "DV ++" heisst. Diese könne die lückenhafte Lösung ersetzen und ist kostenlos verfügbar.
 
Details will das Forschungsteam im Oktober an einer Security-Konferenz vorstellen. 'Heise Security' hat das zugrundeliegende Forschungspapier bereits studiert. (mag)