SSL-Zertifikate-Verwirrung bei Let’s Encrypt und Symantec

Heute noch ein sonntägliches SSL-Informationshäppchen – momentan dräut Ärger, weil Symantec und Let's Encrypt wohl bei SSL-Zertifikaten 'Probleme' bereiten.


Anzeige

Momentan wird ja das hohe Lied der https-Verschlüsselung für Webseiten gesungen. Jede Site soll per https übertragen werden, damit die Browser diese als sicher einstufen. Der Betreiber des Webangebots benötigt dazu ein SSL-Zertifikat, welches seine Authentizität bestätigt. Und da liegt der Hase im Pfeffer: Die SSL-Zertifikate kosten meist – es sei denn, man setzt auf Let's Encrypt. Und man müsste sich sicher sein, dass der Zertifikatsinhaber der ist, für den er sich ausgibt.

Google versus Symantec: da dräut Ärger

Einige Nutzer von Webangeboten setzen auf von Symantec ausgestellte SSL-Zertifikate, um diese per https auszuliefern. In der Vergangenheit gab es aber immer wieder das Problem, dass Symantec Zertifikate unberechtigt ausstellte. Google hatte Symantec mehrfach darauf hingewiesen, den Prozess zur Zertifikatsausstellung zu verbessen, um Missbrauch zu verhindern.

Aber erst die Ankündigung von Google Entwicklern in diesem Beitrag hat mächtig Staub aufgewirbelt. Die Entwickler wollten von Symantec ausgestellte SSL-Zertifikate im Chrome-Browser zukünftig herabstufen. Bei InfoWorld erschien dieser Artikel, der die Situation beleuchtet. Falls Google Chrome keine Extended Validation Zertifikate mehr akzeptiert, wäre dies ein Problem für Nutzer und Symantec selbst.

Aktuell scheint aber wieder das Signal auf Entspannung zu stehen. Wie heise.de hier berichtet, soll der Chrome-Browser aktuell keine Symantec-Zertifikate herabstufen. Das Ganze gilt wohl bis zum Abschluss der Verhandlungen zwischen Google, und Symantecs Zertifizierungsstellen (CA). Für Websitebetreiber bedeutet dies, dass sie erst einmal nicht reagieren müssen. Das Thema könnte aber wieder hoch kochen, wenn es keine Einigung gibt.

Let's Encrypt gibt tausende SSL Zertifikate für PayPal-Phisher aus

Ich stehe hier im Blog ja vor der Frage, auf https umzustellen. Ein SSL-Zertifikat von Let's Encrypt habe ich – momentan stelle ich nicht um, weil ich dann nicht mehr per Windows Live Writer meine Blog-Beiträge im Multisite-Blog einstellen kann.

Aber ich frage mich, wie lange Let's Encrypt SLL-Zertifikate noch akzeptiert werden. Jeder, der eine Domain betreibt, kann sich ein Zertifikat für diese Domain ausstellen lassen. Diesem Beitrag bei Bleeping Computer entnehme ich nun, dass Let's Encrypt im vergangenen Jahr insgesamt  15.270 SSL-Zertifikate ausgegeben hat, die das Wort PayPal enthalten. Davon wurden 14.,766 SSL-Zertifikate (96,7%) für Domains ausgegeben, auf denen Phishing ausging. Die Daten hat Vincent Lynch, Encryption-Exoperte von The SSL Store vor ein paar Tagen nach einer Analyse bekannt gegeben.

Wenn also SSL-Zertifikate an jeden Domaininhaber ausgegeben werden, kommen wir zur Frage, wie man die SSL-Zertifikate überprüft. Ergebnis: Man kann eigentlich kaum überprüfen – es lässt sich lediglich feststellen, dass der Websiteanbieter im Besitz eines SSL-Zertifikats ist, so dass die Übertragung zwischen Server und Clint SSL-verschlüsselt wird. Ob die Website sicher ist, ob da Malware lauert, ob ein Phisher dahinter steckt und ob das Zertifikat, welches behauptet "wird von xyz betrieben" wirklich xyz gehört, das bleibt unklar. SSL ist kaputt – eine Entwicklung, die von Experten vorausgesagt wurde. Und mit der Anzeige von http-Seiten als "unsicher", wie Firefox und Google Chrome das nun handhaben, wird die Entwicklung weiter befeuert. Oder wie seht ihr das?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Internet, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu SSL-Zertifikate-Verwirrung bei Let’s Encrypt und Symantec

  1. Nobody Private sagt:

    Nun ja, ob ich mir nun was über http oder https einfange ist eine Sache, aber wenigstens wurde was auch immer übertragen wurde nicht unterwegs geändert ;)

  2. Ben sagt:

    Sehe ich auch so.

    https ist ein Schutz gegen nicht autorisiertes Abändern oder Einsehen während der Übertragung. Es hat nicht die Aufgabe, den Inhalt auf Schadsoftware oder Phishing zu überprüfen.

    Ist halt der Unterschied zwischen DV-Zertifkaten (domain-validated, CA überprüft nur, ob der Antragsteller technisch der Verantwortliche zur Domain ist, wie bei Let's Encrypt) und EV-Zertifikaten (extended-validation, bei Firmen fordert die CA weitere Unterlagen an, weitere Überprüfung der Identität). EV-Zertifikate sind natürlich aufgrund des massiv gesteigerten Prüfaufwandes deutlich teurer.

    Den hohen Aufwand für EV-Zertifikate kann und will Let's encrypt aufgrund des Finanzierungsmodells verständlicherweise nicht leisten, aber ich denke schon, dass die da einen automatisierten Filter einbauen könnten, der verhindert, dass bestimmte Zertifikate mit eindeutiger Absicht ("Paypal" ist im Domainnamen enthalten) erstellt werden können!

    Da sehe ich Let's encrypt definitiv in der Pflicht!

    • User sagt:

      Wobei man auch als Nutzer selbst darauf achten sollte, was für eine Domain in der Adressleiste angezeigt wird. Unabhängig davon, was der Browser zur Verbindung sagt.

      Derzeit scheint Chromium gerade alle Seiten mit Let's Encrypt als "nicht sicher" einzustufen. Allerdings gibt der Browser keine Info dazu weshalb. Alle Zertifikate im Baum sind gültig.
      Das verwendete Verschlüsselungsverfahen scheint aber leider nicht mehr angezeigt zu werden.

  3. JohnRipper sagt:

    Also "SSL-Zertifikate-Verwirrung bei Let's Encrypt" ist eindeutig eine reißerische Überschrift zur Klick-Generierung.

    Ansonsten kann ich mich Ben nur anschließen. Zertifikate haben nicht den Sinn den Inhalt der Webseite zu prüfen. Wie sollte dies auch funktionieren und nach welchen Regeln?
    Zertifikate haben den Sinn sicherzustellen, dass die Webseite der Domain während der Übertragung nicht geändert oder eingesehen werden kann. Es stellt außerdem sicher, dass der Domaininhaber zu dem Zertifikat passt.

    Gegen letzteres hat Symantec mehrfach verstoßen, indem sie z.B. Zertifikate für google.com ausgestellt haben.

    Das geht nicht und dafür müssen sie bestraft werden.

  4. Tobi sagt:

    Dito, da kann ich euch nur zustimmen.

    Neben Let's Encrypt gibts ja noch andere kostenlose SSL-Zertifikate. Let's Encrypt wird nur gewählt, weil es eben extrem einfach ist. Es würde die Phisher auch niemand daran hindern, ein kostenpflichtiges Zertifikat für wenige Euros zu kaufen… da hättest du dann genau dasselbe Problem.

    • Matthias sagt:

      Das stimmt glücklicherweise nicht!

      Let's Encrypt hat als einzige Anforderung, dass du eine E-Mail in der angeforderten Domäne empfangen kannst, weiter nichts. Seröse Zertifizierungsstellen stellen diesbezüglich einen WESENTLICH höhere Anforderungen. Diese reichen davon, dass die Domänenregistrierungsdaten geprüft werden bis hin zu EV, bei denen unabhängig von Internet geprüft werden muss, wer sich hinter dem Antragsteller verbirgt, ob dieser berechtigt ist, das Zertifikat zu beantragen und dass er offensichtlich keine Rechte Dritter verletzt.

      SLL ist ein vertrauensbasiertes Sicherheitsverfahren. Schade, das Let's Encrypt diees Vertrauen fahrlässig zerstört :-(

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.