Logo von Security

Suche
Jürgen Schmidt 176

Trustwave verkaufte Man-in-the-Middle-Zertifikat

Der Zertifikatsherausgeber Trustwave hat einer Firma ein Zertifkat verkauft, mit dem sich diese gültige Zertifikate für beliebige Server ausstellen konnte. Damit war es ihr dann möglich auch den verschlüsselten Datenverkehr ihrer Mitarbeiter etwa mit Diensten wie denen von Google oder Hotmail zu überwachen. Mittlerweile habe man das CA-Zertifikat jedoch widerrufen und werde das zukünftig auch nicht mehr tun, gelobt der Zertifikatsherausgeber.

Anzeige

Das Herausgeber-Zertifikat kam in einem Data Loss Prevention System (DLP) zum Einsatz, das verhindern soll, dass vertrauliche Informationen wie Firmengeheimnisse nach außen gelangen. Dazu überwacht das DLP-System auch verschlüsselte Verbindungen als Man-in-the-Middle. Das heißt, es bricht die Verbindung auf und gaukelt dem Browser oder Mail-Programm vor, es spräche mit dem eigentlich gemeinten Server. Damit dabei keine Zertifikatsfehler auftreten, muss sich das DLP-System mit einem gültigen Zertifikat ausweisen, das es sich mit dem Trustwave-Herausgeber-Zertifikat praktischerweise selber ausstellen kann. Nach dem gleichen Prinzip funktionieren auch Spionage-Angriffe und staatliche Überwachungsmaßnahmen.
Alle gängigen Browser enthalten das Trustwave Wurzelzertifikat. Vergrößern

Die übliche Vorgehensweise für legitime DLP ist, dass die Admins selbst eine Certificate Authority anlegen und diese – in Absprache mit den Mitarbeitern und Betriebsrat – auf den Arbeitsgeräten installiert wird. Dies stößt jedoch bei mitgebrachten Systemen der Mitarbeiter, die gar nicht der Firma gehören, an seine Grenzen.

Trustwave versichert, dass die Firma Verträge zur Nutzung unterzeichnet habe und sowohl der geheime CA-Schlüssel als auch die damit gefälschten Zertifikate in einem speziell geprüften Hardware Security Module (HSM) sicher aufbewahrt waren. Missbrauch sei somit ausgeschlossen gewesen. Dennoch sei man zu der Erkenntnis gelangt, dass man dieses Konzept zukünftig nicht weiter verfolgen wolle. Man habe das Zertifikat widerrufen und werde keine neuen derartigen Zertifikate mehr ausstellen.

Sicherheitsexperten und Privacy-Verfechter warnen schon seit einiger Zeit davor, dass jede CA und auch jede von ihr ermächtigte Sub-CA beliebige Zertifikate für jeden Server ausstellen können. Insbesondere einige staatliche CAs werden in dieser Hinsicht mit Misstrauen beäugt, da es durchaus nahe liegt, dass sie staatliche Überwachungsmaßnahmen unterstützen. Dies ist nach unserem Kenntnisstand der erste bekannt gewordene Fall, in dem eine allgemein anerkannte Zertifizierungsstelle ganz offiziell für Überwachungszwecke Dritten das Ausstellen von beliebigen SSL-Server-Zertifikaten ermöglicht hat. Allerdings erklärt Trustwave, dies sei eine durchaus übliche Praxis, die auch andere Root-CAs beträfe. (ju)

176 Kommentare

Themen:

Anzeige
  1. Überwachungs-Verdacht: Empörung um Intermediate CA von BlueCoat

    Blue Coat

    Die Sicherheitsfirma BlueCoat hatte sich ein Intermediate-CA-Zertifikat von Symantec ausstellen lassen. Damit hätte die Firma, die im Verdacht steht Überwachungs-Systeme zu verkaufen, eigene Zertifikate auf beliebige Domains ausstellen können.

  2. Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

    SSL-Zertifikate: Google setzt Symantec die Pistole auf die Brust

    Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

  3. TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    Ab Juni müssen alle Symantec-CAs ihre Aktivitäten via Certificate Transparency registrieren. Sonst werden die Zertifikats-Inhaber abgestraft. Das könnte auch andere CAs treffen.

  4. Fünf Millionen Zertifikate: Let's Encrypt wächst rasant

    Fünf Millionen Zertifikate : Let's Encrypt wächst rasant

    Innerhalb von drei Monaten hat Let's Encrypt die Gesamtanzahl von kostenlos ausgestellten SSL-/TLS-Zertifikaten verfünffacht.

  1. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  2. Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern

    Verschlüsselter Nachrichtentransport ist schon mal besser, als Mails wie eine Postkarte für alle lesbar zu übertragen. Doch auch mit dem jüngst bei Freenet, GMX, T-Online und Web.de aktivierten TLS zwischen Absender, Mailservern und Empfänger bleiben Lücken. DANE kann diese schließen.

  3. Zertifikate sperren - so geht's

    Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

  1. Meijs Motorman: Retro-Motorrad mit Elektroantrieb aus den Niederlanden

    Meijs Motorman: Retro-Motorrad mit Elektroantrieb aus Holland

    Aus den Niederlanden kommt das E-Krad Meijs Motorman. Wenn das Elektromoped wirklich Schule macht, müssen sich die Niederländer an ein neues Wort gewöhnen: „Zoemfiets“. Bisher war das lautmalerische „Bromfiets“ das Wort für kleines Benzin-Krad

  2. Deus Ex Mankind Divided: Zehn Tipps für die ersten Stunden

    Deus Ex Mankind Divided: Zehn Tipps für die ersten Stunden

    Eidos Interactives neues Abenteuer mit dem Maximalaugmentierten Adam Jensen brilliert in Atmosphäre und Spieltiefe. Die große Freiheit kann allerdings auch zu Fehlentscheidungen und frühem Frust führen. Zumal das Spiel selbst im leichtesten Schwierigkeitsgrad ziemlich fordernd ist. Damit man nicht zu früh verzweifelt, hier zehn Tipps für den Anfang von "Deus Ex: Mankind Divided".

  3. Batterie-elektrisches Dreirad Morgan EV3

    Elektroautos, alternative Antriebe

    Morgan wagt den Sprung aus der Vergangenheit in die Zukunft der Motorisierung und baut einen 3Wheeler mit E-Maschine statt des seit 1909 traditionellen V2-Verbrennungsmotors vor der Vorderachse. Wird es Traditionalisten trösten können, dass der Rahmen weiterhin aus Esche besteht?

  4. Jeep Willys MB: Der erste seiner Art

    Klassiker

    Als die Amerikaner einen ganzen Planeten befreien mussten, entstand der Willys MB – der UR-Jeep. Ein Auto, dessen Name heute ein Synonym für alle Geländeautos weltweit ist und dessen Erfinder leer ausging

Anzeige