Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 176

Trustwave verkaufte Man-in-the-Middle-Zertifikat

Der Zertifikatsherausgeber Trustwave hat einer Firma ein Zertifkat verkauft, mit dem sich diese gültige Zertifikate für beliebige Server ausstellen konnte. Damit war es ihr dann möglich auch den verschlüsselten Datenverkehr ihrer Mitarbeiter etwa mit Diensten wie denen von Google oder Hotmail zu überwachen. Mittlerweile habe man das CA-Zertifikat jedoch widerrufen und werde das zukünftig auch nicht mehr tun, gelobt der Zertifikatsherausgeber.

Das Herausgeber-Zertifikat kam in einem Data Loss Prevention System (DLP) zum Einsatz, das verhindern soll, dass vertrauliche Informationen wie Firmengeheimnisse nach außen gelangen. Dazu überwacht das DLP-System auch verschlüsselte Verbindungen als Man-in-the-Middle. Das heißt, es bricht die Verbindung auf und gaukelt dem Browser oder Mail-Programm vor, es spräche mit dem eigentlich gemeinten Server. Damit dabei keine Zertifikatsfehler auftreten, muss sich das DLP-System mit einem gültigen Zertifikat ausweisen, das es sich mit dem Trustwave-Herausgeber-Zertifikat praktischerweise selber ausstellen kann. Nach dem gleichen Prinzip funktionieren auch Spionage-Angriffe und staatliche Überwachungsmaßnahmen.
Alle gängigen Browser enthalten das Trustwave Wurzelzertifikat. Vergrößern

Die übliche Vorgehensweise für legitime DLP ist, dass die Admins selbst eine Certificate Authority anlegen und diese – in Absprache mit den Mitarbeitern und Betriebsrat – auf den Arbeitsgeräten installiert wird. Dies stößt jedoch bei mitgebrachten Systemen der Mitarbeiter, die gar nicht der Firma gehören, an seine Grenzen.

Trustwave versichert, dass die Firma Verträge zur Nutzung unterzeichnet habe und sowohl der geheime CA-Schlüssel als auch die damit gefälschten Zertifikate in einem speziell geprüften Hardware Security Module (HSM) sicher aufbewahrt waren. Missbrauch sei somit ausgeschlossen gewesen. Dennoch sei man zu der Erkenntnis gelangt, dass man dieses Konzept zukünftig nicht weiter verfolgen wolle. Man habe das Zertifikat widerrufen und werde keine neuen derartigen Zertifikate mehr ausstellen.

Sicherheitsexperten und Privacy-Verfechter warnen schon seit einiger Zeit davor, dass jede CA und auch jede von ihr ermächtigte Sub-CA beliebige Zertifikate für jeden Server ausstellen können. Insbesondere einige staatliche CAs werden in dieser Hinsicht mit Misstrauen beäugt, da es durchaus nahe liegt, dass sie staatliche Überwachungsmaßnahmen unterstützen. Dies ist nach unserem Kenntnisstand der erste bekannt gewordene Fall, in dem eine allgemein anerkannte Zertifizierungsstelle ganz offiziell für Überwachungszwecke Dritten das Ausstellen von beliebigen SSL-Server-Zertifikaten ermöglicht hat. Allerdings erklärt Trustwave, dies sei eine durchaus übliche Praxis, die auch andere Root-CAs beträfe. (ju)

176 Kommentare

Themen:

Anzeige
  1. Überwachungs-Verdacht: Empörung um Intermediate CA von BlueCoat

    Blue Coat

    Die Sicherheitsfirma BlueCoat hatte sich ein Intermediate-CA-Zertifikat von Symantec ausstellen lassen. Damit hätte die Firma, die im Verdacht steht Überwachungs-Systeme zu verkaufen, eigene Zertifikate auf beliebige Domains ausstellen können.

  2. TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    Ab Juni müssen alle Symantec-CAs ihre Aktivitäten via Certificate Transparency registrieren. Sonst werden die Zertifikats-Inhaber abgestraft. Das könnte auch andere CAs treffen.

  3. Fünf Millionen Zertifikate: Let's Encrypt wächst rasant

    Lets Encrypt

    Innerhalb von drei Monaten hat Let's Encrypt die Gesamtanzahl von kostenlos ausgestellten SSL-/TLS-Zertifikaten verfünffacht.

  4. Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen

    StartCom SSLFail

    In der kürzlich gestarteten Gratis-CA StartEncrypt sollen zahlreiche Sicherheitslücken geklafft haben, durch die man unter anderem an valide Zertifikate für Google, Facebook und Dropbox kam.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern

    „E-Mail made in Germany“ könnte sicherer sein: Bei Redaktionsschluss dieses Artikels war von DANE-geschütztem TLS-Mailtransport bei den vier Providern noch nichts zu entdecken.

    Verschlüsselter Nachrichtentransport ist schon mal besser, als Mails wie eine Postkarte für alle lesbar zu übertragen. Doch auch mit dem jüngst bei Freenet, GMX, T-Online und Web.de aktivierten TLS zwischen Absender, Mailservern und Empfänger bleiben Lücken. DANE kann diese schließen.

  1. Divinity: Original Sin 2 kommt am 14. September

    Divinity: Original Sin 2 kommt am 14. September

    Das Rollenspiel Divinity: Original Sin 2 kommt am 14. September auf den Markt. Die schon veröffentlichte Early-Access-Version wurde derweil um eine Tutorial-Region erweitert.

  2. Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Mit Devuan Jessie 1.0.0 Stable ist die erste LTS-Ausgabe des Debian-Forks ohne systemd erschienen. Sie richtet sich auch an Unternehmen, die direkt von Debian 7 oder 8 umsteigen können.

  3. Devuan: Jetzt solls los gehen

    Devuan: Jetzt solls los gehen

    Die Debian-Forker der "Veteran Unix Admin" wollen jetzt mit der Arbeit an ihrer Debian-Variante ohne Systemd richtig loslegen. Die erste installierbare Version soll Ende Januar fertig sein.

  4. Auch General Motors wegen Abgasbetrugs verklagt

    Auch General Motors wegen Abgasbetrugs verklagt

    Nur wenige Tage nach Razzien bei Daimler und einer Klage der US-Regierung gegen Fiat Chrysler eröffnen US-Dieselkunden ein Verfahren gegen General Motors. Der Hersteller weist die Vorwürfe entschieden zurück

Anzeige