it-swarm.com.de

Kann eine Zertifizierungsstelle eine Domain signieren?

Kann eine Zertifizierungsstelle ein Zertifikat für eine Domain signieren?

Wenn die Antwort "Ja" lautet, was verhindert, dass zwei verschiedene Zertifizierungsstellen ein gültiges Zertifikat für dieselbe Domäne erstellen?

Bedeutet das, dass die gesamte TLS-Sicherheit das gleiche Sicherheitsniveau wie die am wenigsten sichere Zertifizierungsstelle aufweist?

34
Matias Britos

Meistens kann jede Zertifizierungsstelle in Ihrem vertrauenswürdigen Stamm (oder Untergebenen) ein Zertifikat für einen beliebigen DNS-Namen ausstellen.

Namensbeschränkungen und die erweiterte Schlüsselverwendung können verwendet werden, um dies zu mildern, werden jedoch nicht überall durchgesetzt.

DANE, Certificate Pinning und Zertifikatstransparenz sind einige Projekte, die zum Schutz vor diesem Risiko beitragen.

30

Kann eine Zertifizierungsstelle ein Zertifikat für eine Domain signieren?

Im Allgemeinen ja. Vertrauenswürdige Stammzertifikate sind für alles unter dem Stamm vertrauenswürdig.

Wenn die Antwort "Ja" lautet, was verhindert, dass zwei verschiedene Zertifizierungsstellen ein gültiges Zertifikat für dieselbe Domäne erstellen?

Nichts - es ist völlig legitim für Sie, den Eigentümer von example.com, ein Zertifikat für www.example.com zu erhalten, das von einer Sammlung von Zertifizierungsstellen ausgestellt wurde: Comodo, Entrust, Thawte, wer auch immer. (Normalerweise würden Sie dies nicht tun, da dies zusätzliche Kosten ohne Gewinn für Sie darstellt, aber nichts hindert Sie daran. Diese Situation tritt normalerweise auf, wenn eine Organisation von der Verwendung einer Zertifizierungsstelle zu einer anderen wechseln möchte gültige Zertifikate von beiden Zertifizierungsstellen für denselben Namenssatz.)

Ihre wahre Sorge ist hier "was verhindert, dass ein betrügerisches Zertifikat von CA X ausgestellt wird, wenn ein gültiges Zertifikat bereits von CA Y ausgestellt wurde". In diesem Fall besteht das Problem nicht darin, dass ein Zertifikat von mehreren Zertifizierungsstellen ausgestellt werden kann, sondern darin, dass ein Zertifikat betrügerisch ausgestellt werden kann. Der Zweck der "vertrauenswürdigen Zertifizierungsstelle" besteht darin, dass Sie darauf vertrauen, dass die Zertifizierungsstellen sorgfältig Zertifikate an gültige und nicht an nicht autorisierte Käufer ausstellen.

Bedeutet das, dass die gesamte TLS-Sicherheit das gleiche Sicherheitsniveau wie die am wenigsten sichere Zertifizierungsstelle aufweist?

Jep! (Es sei denn, Sie stecken fest). Es ist eine legitime Schwäche des CA-Systems. (Und die Schwäche hier ist, um klar zu sein, dass jede CA ausgetrickst oder böse sein und Zertifikate ausstellen kann, die nicht dazu gehören - nicht, dass sie dies tun können, wenn bereits ein Zertifikat in diesem Namen vorhanden ist).

22
gowenfawr

Es wird durch rechtliche (vertragliche) und nicht technische Mittel verhindert.

Was passiert, wenn eine Zertifizierungsstelle ein Zertifikat erstellt, das vom rechtmäßigen Domäneninhaber nicht ordnungsgemäß autorisiert wurde:

  1. Die Zeit vergeht, und Benutzer vertrauen unwissentlich dem Betrug.
  2. Jemand bemerkt und meldet es.
  3. Browser-Anbieter entfernen das Stammzertifikat dieser Zertifizierungsstelle aus dem nächsten Update der vertrauenswürdigen Liste
  4. Alle anderen Websites, die Zertifikate von der Zertifizierungsstelle verwenden, lösen Nachrichten an Benutzer aus, dass die Site verschlüsselt, aber nicht sicher ist.
  5. Alle anderen Webmaster, die Zertifikate von dieser Zertifizierungsstelle gekauft haben, verklagen.
  6. CA geht bankrott.

Das ist schon mal passiert:

16
Ben Voigt

Andere haben Abhilfemaßnahmen erwähnt, hier einige Beispiele:

Fragwürdige Kompromisse

  • Antivirenhersteller wie Kaspersky installieren häufig eine Zertifizierungsstelle, um Sie durch Abhören aller Ihrer Verbindungen, einschließlich SSL-Links, zu "schützen".

  • Im Februar 2015 berichteten Medien über die SuperFish Adware/Malware , die von Lenovo absichtlich (---) installiert installiert wurde ) auf seinen Computern *.

    Es wird mit einem CA-Zertifikat und einem Schlüssel zum dynamischen Ausstellen von Host-Zertifikaten geliefert.

    Ein Hauptproblem hierbei ist, dass die Zertifizierungsstelle nicht nur auf Ihrem Computer installiert ist, sondern Teil der Software und damit dieselbe ist. für alle Computer.

    EFF hat Tausende von Zertifikatsfälschungen gefunden über HTTPS Everywhere/SSL Observatory (siehe unten).

    Möchten Sie SuperFish-Benutzer mit signierter Software oder gültigen SSL-Sites beschenken?
    Hier ist der Schlüssel und das Zertifikat dafür, zusammen mit einer Geschichte wie es "Open-Source" war. Beeilen Sie sich, Microsoft usw. senden Updates, um dieses Durcheinander zu beseitigen.

  • Fiddler ist ein HTTP-Proxy mit SSL-Abhörfunktion. Es wird ein CA-Zertifikat installiert, um auf verschlüsselte Links zuzugreifen.

  • Einige Unternehmen oder ihre Firewalls fangen verschlüsselten Datenverkehr ab, um Eindringlinge und Datenlecks zu erkennen oder ihre Mitarbeiter auszuspionieren . Normalerweise werden Unternehmenscomputer und mobile Geräte mit den Zertifizierungsstellen des Unternehmens geliefert, sodass Sie keine Warnung erhalten, es sei denn, Sie besuchen eine mit Zertifikaten versehene Site.

Andere als diese gefälschte Zertifikate für große Websites wie Google, Facebook oder iTunes wurden in freier Wildbahn gefunden in den letzten Jahren.

Minderung

  • Chrome und Firefox haben einige Zertifikate , die sofort angeheftet sind , z. Google-Websites in Chrome, Mozilla-Websites in Firefox und wichtige Websites wie Twitter (browserabhängig).
  • Certificate Patrol für Firefox-Pins/speichert Site-Zertifikate und warnt Sie, wenn sich diese ändern.
  • Microsoft EMET steckt auch einige Site-Zertifikate seit 4.0 an.
  • HTTPS Everywhere from EFF verfügt über eine "SSL Observatory" -Funktion, bei der SSL-Zertifikate mit der Menge verglichen werden , um festzustellen, ob etwas faul ist. Außerdem wird auf einigen Websites HTTPS/SSL erzwungen.

Außerdem wurden EV-Zertifikate (Extended Validation) - solche, die in großen Browsern ein grünes Schloss oder eine grüne Adressleiste anzeigen - erfunden, um von diesem Fehler im Zertifizierungssystem zu profitieren und ihn auszunutzen die verwandte FUD.

EV-Zertifizierungsstellen können im Gegensatz zu regulären Zertifikaten nicht vom Benutzer bearbeitet werden , und Aussteller und Browser-Anbieter versprechen, für diese höhere Validierungs- und Sicherheitsstandards anzuwenden.

Dies ist jedoch immer noch nur Konvention, wenig mehr.

5
Archimedix