Microsoft Zertifikatsupdate gefährden die Sicherheit – wirklich?

Veröffentlicht am von

Neue Meldungen verunsichern über die Sicherheit von SSL durch Updates der Zertifikate. Angeblich kann dies auch trivial als Hintertür missbraucht werden. Ist das wirklich so?

Pressemeldung der Firma Tele-Consulting security | networking | training GmbH

PRISM und Tempora sei Dank ist die Presse gerade sehr auf der Lauer. Das ist an sich zu begrüßen. Allerdings schaffen es interessanterweise häufig die halbgaren, aber umso reißerisch klingenden Geschichten auf die virtuellen Titelblätter. Aktuell liest man von dynamischen Microsoft Zertifikatsupdates die die Sicherheit gefährden. Doch ist das wirklich so?

Ruft man eine Webseite über eine verschlüsselte Verbindung auf, so weist sich diese mit einem Zertifikat aus. In diesem Zertifikat ist kryptografisch abgesichert hinterlegt, wer dieses Zertifikat ausgestellt hat. Eine Stelle die Zertifikate vergibt nennt sich Certification Authority, kurz CA. Hinter den CAs stehen meist Unternehmen. Es gibt aber auch alternative Programme wie cacert.org.

In jedem Browser (Internet Explorer, Firefox, Safari, Opera, etc) ist standardmäßig eine Liste von vertrauenswürdig eingestuften CAs hinterlegt. Ruft man nun eine verschlüsselte Seite auf wird durch den Browser aus dem Zertifikat extrahiert, welche CA das Zertifikat ausgestellt hat und überprüft, ob das Zertifikat der CA als vertrauenswürdig im Browser hinterlegt ist. Wenn ja, wird die Seite angezeigt. Wenn nein, zeigt der Browser eine Fehlermeldung die mehr oder minder verständlich mitteilt, dass der CA nicht vertraut wird. Vorteil: Man muss nicht die Identität jeder Seite einzeln Prüfen. Das hat die CA der man vertraut ja bereits erledigt. Das Ganze nennt man Public-Key-Infrastructure (PKI).

Ruft man im kritisierten Fall nun eine Seite auf, deren CA zwar der Browserhersteller Microsoft als vertrauenswürdig eingestuft hat, jedoch noch nicht auf dem Rechner des Nutzers vorhanden ist, so fragt der Browser diese Information beim Hersteller ab und installiert das Zertifikat nach. Das ist genauso gut oder schlecht wie wenn das Zertifikat der CA von Anfang an im Browser gewesen wäre. Man vertraut der Expertise des Herstellers und dem Hersteller selbst, welche CAs er aufnimmt.

Welche Voraussetzungen es benötigt um die Funktionalität zu missbrauchen, wird im TC-Blog ausführlich erläutert.



Firmenkontakt und Herausgeber der Meldung:
Tele-Consulting security | networking | training GmbH
Siedlerstr.22-24
71126 Gäufelden
Telefon: +49 (7032) 9758-0
Telefax: +49 (7032) 9758-30
http://www.tele-consulting.com

Ansprechpartner:
Tobias Glemser
Geschäftsführer
07032/9758-0

Tele-Consulting bietet Informationssicherheitsexpertise in den drei Feldern Informationsmanagementsysteme (BSI-Grundschutz/ISO 27001), Penetrationstests und Webanwendungsanalysen sowie Produktprüfungen nach Common Criteria und ITSEC.   Tele-Consulting ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister. Im Rahmen der Zertifizierung wurden Zuverlässigkeit und Unabhängigkeit, sowie Fachkompetenz und Qualität der Dienstleistung geprüft und bewertet. Damit wurde von unabhängiger Stelle die Vertrauenswürdigkeit und Kompetenz der durch Tele-Consulting erbrachten IT-Sicherheitsdienstleistungen nachgewiesen. Die persönliche Kompetenz der mit den Beratungsleistungen betrauten Mitarbeiter wurde überprüft, ebenso wie das Sicherheits- und Qualitätsmanagement der Firma.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.