Mehrarbeit für Domaininhaber in Grenzen
Zertifikatsmissbrauch wird ein weiterer Riegel vorgeschoben
Certification Authority Authorization erhöht Sicherheit von SSL/TLS-Zertifikaten
Seit 8. September ist die Sicherheit von SSL/TLS-Zertifikaten durch das Verfahren Certification Authority Authorization (CAA) weiter erhöht worden. Da der Anwender nun selbst im DNS eine oder mehrere Zertifizierungsstellen (CA) definiert, die SSL /TLS-Zertifikate für die eigenen Domains ausstellen darf. "Das SSL-/TLS-Zertifikat wird nun nicht nur an einen festgelegten Host, sondern auch an eine festgelegte Zertifizierungsstelle gebunden. Dem Zertifikatsmissbrauch wird damit ein weiterer Riegel vorgeschoben. Und dank diverser Tools hält sich auch das Mehr an Arbeit für Domaininhaber in Grenzen", begrüßt Christian Heutger, Geschäftsführer der PSW Group diesen Schritt.
Das ursprüngliche Modell der Zertifizierungsstellen erlaubte es, dass jede Zertifizierungsstelle für jeden Host- bzw. Domainnamen Zertifikate ausstellen kann. Das konnte zur Folge haben, dass mehrere Zertifikate von verschiedenen CAs für ein und dieselbe Domain ausgestellt werden.
"Angreifer machen sich genau das zunutze: Um einen Man-in-the-Middle-Angriff zu starten, lassen sich Angreifer ein gültiges Zertifikat ausstellen, obwohl sie nicht Domain-Inhaber sind. Das erlaubt dem Angreifer, sich mit dem gefälschten Zertifikat als Server auszugeben, der er nicht ist", erklärt der IT-Sicherheitsexperte und ergänzt: "Ist nun ein Zertifikat eines Hosts bzw. einer Domain an eine vorher festgelegte Zertifizierungsstelle gebunden, fällt bereits beim Validieren auf, dass das Zertifikat von einer fremden Zertifizierungsstelle gezeichnet ist. Dann wird das Zertifikat als ungültig angesehen."
Mithilfe des CAA-Records legt der Domain-Inhaber ab sofort schon in der DNS fest, welche Zertifizierungsstelle ein Zertifikat für seine Domain ausstellen darf. Für diese Domain darf nun ausschließlich diese CA-Zertifikate ausstellen. Es kann nicht mehr zu fälschlich ausgestellten Zertifikaten kommen. Wurde das Zertifikat durch die richtige CA ausgestellt, kann diese Zertifizierungsstelle auch nach der Gültigkeit des TLS-Zertifikats befragt werden. Versucht nun eine Gegenstelle, sich als korrekter Server auszuweisen und präsentiert dafür ein Zertifikat, welches von einer anderen CA unterschrieben wurde, schlägt der Client Alarm.
"Seit 8. September dieses Jahres können SSL/TLS-Zertifikate nur dann ausgestellt werden, wenn die Zertifizierungsstelle als CAA in der DNS festgelegt wurde. Zur eigenen Sicherheit rate ich deshalb allen Domaininhabern ein CAA Record anzulegen, andernfalls kann das Zertifikat von jeder CA ausgestellt werden", verdeutlicht Christian Heutger noch einmal. (PSW Group: ra)
eingetragen: 17.10.17
Home & Newsletterlauf: 23.11.17
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.