Ratschläge gegen SSL-Zertifikats-Diebstahl

2. Mai 2012, 15:25
  • channel
image

Im Herbst 2011 wurden anerkannte --http://www.

Im Herbst 2011 wurden anerkannte Zertifizierungsdiensteanbieter (CSPs) angegriffen. Dabei gelang es den Angreifern falsche SSL und TLS-Server-Zertifikate auszustellen. Die Melde- und Analysestelle Informationssicherung Melani hat anlässlich dieses Vorfalls dessen Auswirkungen analysiert.
Die Meldestelle rät in einer "Technologiebehandlung" zwei Punkte zu beachten, wenn falsche Zertifikate ausgegeben werden:
Erstens: Alle im Einsatz stehenden Mechanismen für die Widerrufung von Zertifikaten auf der Basis von Sperrlisten versagen für solche Zertifikate. Es bräuchte eine Unterscheidungsmöglichkeit für autorisierte und nicht autorisierte Zertifikate. Laut Melani könnte ein "Whitelisting" oder eine Art "Clearance" korrekt abgewickelter Bestell- und Bezahlprozesse weiterhelfen. Allerdings wären solche Ansätze auch nicht resistent gegenüber Insider-Angriffen.
Zweitens: Es habe sich gezeigt, dass das Vertrauensmodell von ITU-T X.509 grundsätzlich problematisch ist.
"Wird in diesem Modell ein CSP bzw. eine als vertrauenswürdig anerkannte Root CA kompromittiert, dann sind davon alle Entitäten betroffen, die sich auf diese CA berufen", schreibt Melani.
Mögliche Vorkehrungen
In dem Papier rät Melani, mit kurzen Listen vertrauenswürdiger Root CAs oder mit einer selektiven Aufnahme von nur bestimmten Root CAs zu arbeiten, wenn man am Vertrauensmodell keine Änderungen vornehmen kann. Google nutzte diese Möglichkeit bereits seit Chrome Version 13 unter dem Begriff „Public Key Pinning“. Wolle man den Ansatz auf beliebige Domänen verallgemeinern, dann biete sich eine Verbindung zum Domain Name System (DNS) an.
Wenn man aber Änderungen am Vertrauensmodell vornehmen kann, dann
böte sich ein Vertrauensmodell an, in dem Kompromittierungen auch nur lokale Auswirkungen haben. Ein solches Modell müsse zwingend verteilt sein und dynamische Vertrauensbeziehungen unterstützen. (lvb)

Loading

Mehr zum Thema

image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023
image

Rapid7 prüft offenbar einen Verkauf

Der Security-Anbieter erwägt laut Medienberichten Optionen für einen Verkauf. Dabei soll auch eine Übernahme durch Private-Equity-Investoren infrage kommen.

publiziert am 2.2.2023
image

Gartner: Nachfrageschwäche für PCs hält an

Sowohl Unternehmen als auch Consumer werden dieses Jahr weiterhin Ausgaben scheuen und ihre alten Geräte länger benutzen, anstatt neue zu kaufen, sagt der Marktforscher.

publiziert am 1.2.2023
image

Opentext: Nach der Übernahme kommen die Entlassungen

Nach dem Merger mit Micro Focus sollen rund 8% der Stellen gestrichen werden.

publiziert am 1.2.2023