Zum Thema Destiny 2

Zertifikate: Verbindliche Regeln aber keine Strafen

reported by doelf, Mittwoch der 13.09.2017, 17:22:25 Uhr

Es ist schön, dass immer mehr Webseiten verschlüsselt übertragen werden. Doch ein Grundproblem von TLS bzw. SSL bestand schon immer darin, dass man den Zertifizierungsstellen nicht trauen kann. Dieses drängende Problem sollte die "Certification Authority Authorization" (CAA) eigentlich lösen, doch was nutzen verbindliche Regeln, wenn deren Einhaltung nicht überwacht und Verstöße nicht geahndet werden?

Vertrauen ist ein Problem...
Vor jeder verschlüsselten Verbindung mit einer Webseite steht eine Art Ausweiskontrolle, welche sicherstellen soll, dass unser Ziel echt ist und sich kein Dritter in die Verbindung mogeln kann. Doch dummerweise gibt es unzählige Stellen, welche solche Ausweise, die Zertifikate, ausstellen können. Einige dieser Zertifizierungsstellen sind Privatunternehmen mit bescheidenen Sicherheitsvorkehrungen, andere werden staatlich kontrolliert. Und so kam es in der Vergangenheit immer wieder vor, dass sich unberechtigte Dritte Zertifikate für Domains, welche ihnen gar nicht gehörten, ausstellen ließen. Beispielsweise hatte die türkische Zertifizierungsstelle TURKTRUST Ende 2012 Zertifikate für *.google.com ausgestellt, mit denen sich verschlüsselte Verbindungen zu Google belauschen oder umleiten ließen.

...CAA wäre eine Lösung
Abhilfe könnte ein Mechanismus namens "Certification Authority Authorization" (CAA) schaffen, denn mit diesem erhalten Administratoren die Möglichkeit, ihre zuständige Zertifizierungsstelle im DNS (Domain Name System) zu benennen. Stimmen die Vorgaben in der Zone-Datei des DNS-Servers und der Herausgeber des Zertifikats nicht überein, könnte nun jemand Alarm schlagen. Dummerweise war diese Vorgabe bisher für keine Seite bindend und die aktuellen Webbrowser führen auch keine entsprechende Überprüfung durch. Erst seit dem 8. September 2017 (siehe: RFC 6844) müssen sich alle Zertifizierungsstellen an die CAA halten, doch während diese Regelung verbindlich ist, fehlt es an Kontrollen und Sanktionsmöglichkeiten. Die Gefahr dabei aufzufliegen, ist jedenfalls gering.

Der Fall Comodo
Jonathan Rudenberg hatte sich vor vier Tagen bei Mozilla, dem Betreiber der Zertifizierungsstelle Letsencrypt gemeldet, um auf das Problem hinzuweisen. Rudenberg hatte per DNS einzig Letsencrypt als Zertifizierungsstelle für die Domains caatest.titanous.com und www.caatest.titanous.com zugelassen. Dieser Vorgabe zum Trotz hatte Comodo, nach eigenen Angaben der weltgrößte Aussteller von SSL-Zertifikaten, ohne irgendeine Fehlermeldung oder Rückfrage neue Zertifikate für die beiden Domains generiert. Eine Überprüfung der CAA hatte anscheinend nicht stattgefunden. Genau das Gleiche ist auch Hanno Böck mit der Domain cmc.tlsfun.de passiert. Rob Stradling von Comodo hat das Problem bestätigt und für seine Firma Besserung gelobt. Offenbar gab es ein Software-Problem nach dem Update von BIND, das nun behoben wurde.

Die Lehre
Welche Lehre kann man aus diesem Vorfall ziehen? Comodo gehörte vor zweieinhalb Jahren zu den ersten Zertifizierungsstellen, die eine CAA-Prüfung implementiert hatten. Doch wenn diese Prüfung nach einem Software-Update außer Gefecht gesetzt ist, da eine Fehlermeldung nicht mehr als solche erkannt wird, nutzt sie herzlich wenig. Aktuell ist CAA nicht mehr als eine gute Absicht. Solange die Webbrowser hier keine Kontrollen durchführen, gibt es weder zusätzliche Sicherheit noch irgendwelche Konsequenzen im Falle von Verstößen. In der Vergangenheit hatte sich bereits gezeigt, dass einzig die Hersteller der Webbrowser einen Hebel haben, um schwarzen Schafen unter den Zertifizierungsstellen den Saft abzudrehen. Und daran wird sich erst einmal auch nichts ändern.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]