Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Johannes Merkert 55

Letsencrypt sperrt TLS-SNI Domainvalidierung

Letsencrypt spert TLS-SNI Domainvalidierung

Bild: Bo-Yi Wu (CC-BY)

Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer Sicherheitslücke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins müssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.

Letsencrypt stellt für jeden kostenlose SSL-Zertifikate aus, der beweisen kann, dass er eine Domain kontrolliert. Die CA bietet drei verschiedene Wege dafür an: Abfrage einer kryptisch benannten Datei über einen HTTP-Server, ein TXT-Record im DNS oder ein selbstsigniertes Zertifikat für eine kryptische Subdomain, das der TLS-Server ausliefert. Die letzte Methode (TLS-SNI-01) musste Letsencrypt abschalten, da eine Sicherheitslücke bekannt wurde.

Anzeige

Die Lücke entsteht nur auf Servern, die für mehrere Benutzer Dienste für mehrere Domains bereitstellen und gleichzeitig den Benutzern die Möglichkeit geben, ohne weitere Prüfung Zertifikate über den TLS-Server bereitzustellen. Bei derart fahrlässig agierenden Servern fehlt bei der TLS-SNI-Validierung die Zuordnung zwischen Domain und Benutzer, sodass jeder Benutzer für beliebige andere Dienste auf dem Server Zertifikate über Letsencrypt beziehen könnte.

Letsencrypt steht im Kontakt mit betroffenen Hostern, damit diese die in den Zertifikaten angegebene Domain prüfen, bevor Benutzer sie auf den TLS-Server laden können. In einem ersten Schritt sollen einige populäre Hoster, die die Lücke geschlossen haben, freigegeben werden. Danach soll die Validierungsmethode für alle außer den Hostern freigegeben werden, die noch keinen Patch eingespielt haben. (jme)

55 Kommentare

Anzeige
  1. Workshop: Securing Security – wie man TLS-Zertifikate zuverlässig absichert

    Workshop: TLS-Zertifikate zuverlässig mittels DANE absichern

    TLS-Zertifikate lassen sich mittels DANE weit zuverlässiger gegen Missbrauch absichern als herkömmlich über Zertifizierungsstellen. Ein Tages-Workshop für Administratoren und Sicherheitsbeauftragte führt in die Technik ein.

  2. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  3. Google App Engine startet standardmäßige Verschlüsselung

    Google App Engine startet standardmäßige Verschlüsselung

    Zwar steckt der Dienst noch in der Betaphase, in der App Engine neu erstellte Domänen werden jedoch zukünftig alle mit SSL-Zertifikat zur verschlüsselten Kommunikation ausgestattet. Außerdem ist die Admin-API fertig.

  4. Google auf dem Weg zur unabhängigen Root-CA

    Google auf dem Weg zur unabhängigen Root-CA

    Künftig will das Unternehmen über den Google Trust Service eigene SSL-/TLS-Zertifikate ausstellen. Diese sollen bei Google-Diensten und Angeboten des Google-Mutterkonzerns Alphabet zum Einsatz kommen.

  1. Wie funktioniert Webhosting?

    Mit eigenem Webspace lassen sich Webseiten oder privater Cloud-Speicher aufsetzen - wenn man weiß, wie Hoster funktionieren und was man braucht.

  2. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  3. Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Das MQTT-Protokoll lässt sich effizient über Methoden absichern, die über die Standardfunktion mit Name und Passwort hinausgehen.

  1. Ein zweites Video zeigt die ganze Hinrichtung Saddams

    "See how Saddam Hussein was executed. He is peeing in his pants."

  2. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  3. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

  4. Plagiats-Jägerin: Kaum Fortschritte im Kampf gegen Ideen-Klau bei Doktorarbeiten

    Schavan

    Weil die frühere Bildungsministerin Annette Schavan in ihrer Doktorarbeit plagiiert hat, trat sie vor fünf Jahren zurück. Was hat sich seitdem an den Unis getan?

Anzeige