Domainzertifikat: StartSSL manipulierbar ?

30. März 2016 | Von | Kategorie: Domain News, Domain Sicherheit

Zertifizierungsstelle StartSSL: Fehler begünstigte Zertifikatsmissbrauch

Die StartSSL CA ist eine offizielle Zertifizierungsstelle, die SSL Zertifikate, u. a. das SSL Free“- Paket, vergibt. Eigentümer des Unternehmens ist die israelische StartCom Ltd. Seit dem Jahr 2005 ist die StartCom internationale als Zertifizierungsstelle anerkannt. Jetzt wurde ein Fehler bekannt, der einen Zertifikatsmissbrauch begünstigen könnte. Wie das Portal heise.de berichtet, hatte der Technikblogger Osama Almanna einen Fehler entdeckt, bei dem Identifikationsüberprüfungen einfach umgangen werden konnten. Der Sicherheitsforscher hatte den Fehler umgehend an StartCom und damit auch StartSSL gemeldet.

Zertifizierungen ohne Identifizierung der Eigentümer?
Bei der Vergabe von kostenpflichtigen und kostenlosen SSL Zertifikaten für Domains fragt StartSSL immer nach einer Identifikation des Domaininhabers. Dies geschieht über eine Mail, die das Unternehmen an den Domain-Inhaber versendet. Die Mail mit dem Token an den Webmaster oder Postmaster der entsprechenden Domain kann aber laut Osama Almanna leicht umgangen werden und ermöglicht Cyberkriminellen den Missbrauch der Zertifikate.

Das Prinzip ist einfach. Das automatisch versendete Formular sendete die entsprechenden E-Mailadressen nur per Post-Request an den Server, der das Formular ohne weiter Überprüfungen übernahm und damit auch die Identifizierungen der Domaineigentümer als abgeschlossen ansah. Die Maildresse für den Post-Request lautet postmaster@irgend.wo und kann von jedem Hacker, der mit einem Proxy umgehen kann, umgeleitet werden. Den Test-Token für seine eigene Domain ließ Almanna einfach an eine Hotmail-Adresse senden und wurde trotzdem als Eigentümer identifiziert.

Damit könnten Cyberkriminelle alle Überprüfungen umgehen und SSL Zertifikate für Domains jeder Art ausstellen können, die dann von den großen und gängigen Browsern anerkannt werden. StartSSL hat nach der Information über den Fehler mehrere zusätzliche Sicherheitsüberprüfungen eingebaut, die manipulierte Anfragen nicht bearbeiten.

In einem offiziellen Statement betonte der Mutterkonzern StartCom, dass die E-Mailadressen des Requests grundsätzlich überprüft und „ungeeignete Adressen“ nicht anerkannt werden. Das Unternehmen bestreitet den Fehler nicht, sieht aber im Test des Sicherheitsforschers Almanna einen Einzelfall, da die verwendetet Hotmail-Adresse im WHOIS der Domain gelistet war.

 

 

 

 

 

Schreibe einen Kommentar