{"id":17574,"date":"2018-08-29T12:44:07","date_gmt":"2018-08-29T10:44:07","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17574"},"modified":"2018-09-18T14:45:11","modified_gmt":"2018-09-18T12:45:11","slug":"residual-certificates-mitm-dos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/residual-certificates-mitm-dos\/17574\/","title":{"rendered":"MitM- und DoS-Angriffe auf Domains: So werden Ihnen noch g\u00fcltige Zertifikate zum Verh\u00e4ngnis"},"content":{"rendered":"

HTTPS-Zertifikate sind eine der tragenden S\u00e4ulen der Internetsicherheit \u2013 aber auch sie haben, wie so oft, ihre Schattenseiten. Wir haben bereits dar\u00fcber berichtet, das HTTPS keine absolute Garantie f\u00fcr die Sicherheit der Nutzer ist<\/a>. In diesem Beitrag m\u00f6chten wir uns deshalb darauf konzentrieren, was f\u00fcr die Websitebetreiber schief gehen kann.\"\"<\/a><\/p>\n

Zwei g\u00fcltige Zertifikate f\u00fcr eine Domain<\/h3>\n

Domain-Registrierung und HTTPS-Zertifizierung werden oft von verschiedenen Organisationen kontrolliert; deshalb kann es passieren, dass der G\u00fcltigkeitszeitraum f\u00fcr Domains und Zertifikate nicht immer \u00fcbereinstimmt. Dies f\u00fchrt zu Situationen, in denen sowohl der ehemalige als auch der aktuelle Websitebetreiber zur gleichen Zeit g\u00fcltige<\/em> Zertifikate f\u00fcr dieselbe Domain besitzen.<\/p>\n

Was kann in einer solchen Situation schiefgehen und wie weit verbreitet ist das Problem tats\u00e4chlich? Auf der DEF CON 26<\/a> pr\u00e4sentierten die Forscher Ian Foster und Dylan Ayrey ihre Studie zu diesem Problem<\/a>. Ihrer Meinung nach gibt es deutlich mehr Komplikationen als man auf den ersten Blick vermuten mag \u2013 und es ist ein \u00fcberraschend weit verbreitetes Problem.<\/p>\n

Das offensichtlichste Problem, wenn jemand im Besitz eines g\u00fcltigen Zertifikats Ihrer Domain ist, ist ein \u201eMan-in-the-Middle<\/a>\u201e-Angriff auf die Benutzer Ihrer Website.<\/p>\n

Foster und Ayrey nutzten die Zertifikatsdatenbank des Certificate-Transparency-Projekts<\/a>, um 1,5 Millionen Cross-Ownership-Probleme bei Zertifikaten zu identifizieren \u2013 das entspricht fast 0,5% aller Webseiten. In einem Viertel dieser F\u00e4lle ist das \u00e4ltere Zertifikat noch immer g\u00fcltig; mit anderen Worten: 375.000 Domains sind anf\u00e4llig f\u00fcr einen Man-in-the-Middle-Angriff.<\/p>\n

\"\"<\/a><\/h3>\n

\u00a0<\/a>Aber das ist noch lange nicht alles. Es kommt relativ h\u00e4ufig vor, dass ein und dasselbe Zertifikat f\u00fcr mehrere Domains erstellt wird \u2013 manchmal auch f\u00fcr Dutzende oder sogar Hunderte von ihnen. So sind Foster und Ayrey beispielsweise auf ein Zertifikat gesto\u00dfen, das 700 Domains gleichzeitig abdeckt; den Forschern zufolge lassen sich auf dieser Liste auch zahlreiche sehr bekannte Domains finden.<\/p>\n

Daher \u00fcberrascht es nicht, dass einige dieser 700 Domains derzeit noch immer frei zur Verf\u00fcgung stehen; theoretisch k\u00f6nnte also jeder diese Domain registieren lassen und ein HTTPS-Zertifikat daf\u00fcr anfordern. In diesem Fall stellt sich allerdings die Frage, ob der neue Domaininhaber das Recht hat, das vorherige Zertifikat zu widerrufen, um seine Website vor einem Man-in-the-Middle-Angriff zu sch\u00fctzen.<\/p>\n

Kann das Zertifikat widerrufen werden?<\/h3>\n

Zertifikate k\u00f6nnen tats\u00e4chlich widerrufen werden. Der Betriebsablauf der Zertifizierungsstellen sieht<\/a> einen solchen Widerruf vor, wenn \u201edie im Zertifikat enthaltenen Informationen ungenau oder irref\u00fchrend sind\u201c. Der Widerruf muss innerhalb von 24 Stunden nach Erhalt der Benachrichtigung erfolgen.<\/p>\n

Foster und Ayrey haben genauer untersucht, wie das Ganze im wirklichen Leben funktioniert, und herausgefunden, dass das Verfahren f\u00fcr verschiedene Zertifizierungsstellen sehr unterschiedlich abl\u00e4uft. So verwendet Let\u2019s Encrypt automatisierte Tools, mit denen ein Zertifikat sehr schnell \u2013 fast in Echtzeit \u2013 widerrufen werden kann. Bei anderen Zertifizierungsstellen m\u00fcssen Sie hingegen erst mit den zust\u00e4ndigen Mitarbeitern Kontakt aufnehmen. In einigen F\u00e4llen verlangt der Widerruf eines Zertifikats viel Ausdauer und deutlich mehr Wartezeit als die angegebenen 24 Stunden. Im schlimmsten Fall kann es sogar passieren, dass ein Zertifikat gar nicht widerrufen wird.<\/p>\n

\"\"<\/a><\/p>\n

Es ist sehr wahrscheinlich, dass ein altes, noch g\u00fcltiges Zertifikat widerrufen werden kann. Hierbei gibt es allerdings gute und schlechte Nachrichten: Auf der einen Seite wird der neue Domain-Inhaber in den meisten F\u00e4llen in der Lage sein, sich vor einem Man-in-the-Middle-Angriff zu sch\u00fctzen. Auf der anderen Seite bedeutet es aber auch, dass jemand anderes eine kostenlose Domain, die mit einem \u201egeteilten\u201c Zertifikat abgedeckt ist, erwerben und widerrufen kann, wodurch die Nutzung der zugeh\u00f6rigen Websites stark beeintr\u00e4chtigt wird.<\/p>\n

Wie weit verbreitet ist dieses Problem? Rund 7 Millionen Domains \u2013 mehr als 2% aller Webseiten! \u2013 teilen ihre Zertifikate mit Domains, deren Registrierungen bereits abgelaufen sind. 41% der vorherigen Zertifikate sind dabei immer noch g\u00fcltig. Daher sind derzeit mehrere Millionen Domains m\u00f6glichen DoS-Angriffen<\/a> ausgesetzt.<\/p>\n

\"\"<\/a><\/p>\n

Kommen wir auf das oben genannten \u201e700-Domains\u201c-Zertifikat zur\u00fcck: Um zu demonstrieren, wie unmittelbar das Problem ist, haben die Forscher eine der freien Domains, die durch dieses Zertifikat abgedeckt ist, erworben und haben aktuell theoretisch die M\u00f6glichkeit, eine DoS-Attacke auf Hunderte von aktiven Websites zu starten.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h3>\n

Insgesamt 375.000 Domains sind anf\u00e4llig f\u00fcr MitM-Angriffe und mehrere Millionen f\u00fcr DoS-Angriffe durch den Gebrauch verbleibender Zertifikate. Auch Ihre Domains k\u00f6nnten auf der Liste stehen. Aber wie k\u00f6nnen sich Websitebetreiber sch\u00fctzen? Foster und Ayrey schlagen Folgendes vor:<\/p>\n