Anzeige

Zertifikat

Aktuell hatte DigiCert für Schlagzeilen gesorgt, weil es Web-Administratoren überall auf der Welt innerhalb von wenigen Tagen vor die Herausforderung stellte insgesamt 50.000 Extended Validation (EV)-Zertifikate von 14 seiner Partner auszutauschen. Let’s Encrypt hatte diese Übung ebenfalls im März dieses Jahres mit drei Millionen Zertifikaten durchführen lassen.

Web-Administratoren müssen nun mit einer großen Anzahl von Unternehmen und Dritten zusammenarbeiten, um den manuellen Austausch vorzunehmen. Das ist das größte Problem, die Zertifikate müssen allesamt manuell ausgetauscht werden und auch der Prozesse der Implementierung eines neuen Zertifikats ist ebenso manuell auszuführen. Das ist in der Kürze der Zeit eine Kraftanstrengung, zumal der finale Tag ein Samstag war.

Wer nicht weiß, wo welches Zertifikat verwendet wird und zu welchem Zweck, kann es auch nicht austauschen. Die Folge wäre dann der Ausfall einer Webseite oder eines Webservices, was in aktuellen Zeiten ein No Go ist.

Was sind EV-Zertifikate?

Ein EV-Zertifikat (Extended Validation) ist eine Art SSL/TLS-Zertifikat. Es wird sehr geschätzt, weil die Validierung den größten Aufwand für eine Zertifizierungsstelle (CA) erfordert. Als solches bietet ein EV-Zertifikat ein hohes Maß an Vertrauen für Besucher einer Website, die vom Zertifikatsinhaber betrieben wird.

Aufgrund ihres intensiven Überprüfungsprozesses sind EV-Zertifikate im Allgemeinen weniger verbreitet als andere SSL-Zertifikate. Auf der entgegengesetzten Seite der Skala sind domainvalidierte (DV) Zertifikate der am weitesten verbreitete Typ von SSL/TLS-Zertifikaten. Sie erfordern lediglich eine Verifizierung anhand des Domainnamens, eine Validierung, die ein Domaininhaber erreicht, indem er seine im WHOIS-Datensatz aufgeführte E-Mail bei der CA bestätigt oder eine Verifizierungsdatei auf der Website platziert.

Der nächste Schritt nach oben sind vom Unternehmen validierte, sogenannte Organization validated(OV)-Zertifikate, die mehr Verifizierung erfordern als DV-Zertifikate. Für diese digitalen Dateien fordern CAs in der Regel Unterlagen an, die die Adresse des Domain-Inhabers und andere Organisationsinformationen verifizieren. Bei erfolgreichem Erhalt führen OV-Zertifikate die Namen sowohl der Website als auch des Unternehmens auf.

Bei EV-Zertifikaten verlangen CAs von einem Domain-Besitzer zusätzliche Unterlagen wie einen unterzeichneten Abonnentenvertrag, ein unterschriebenes Autorisierungsformular und Unterlagen, die entweder sein Unternehmen oder seine EV-Anforderung verifizieren. Ein Überprüfungspartner sieht sich dann all diese Informationen an, um den Namen des Domain-Besitzers, seine rechtliche Existenz, seine betriebliche Existenz, seine physische Existenz und andere Eigenschaften zu überprüfen. Wenn der Überprüfungsprozess erfolgreich durchlaufen wurde, erhält man ein vollständig validiertes EV-Zertifikat, eine digitale Datei, in der der Name des Unternehmens oder der Organisation in der Adressleiste angezeigt wird und die Adressleiste grün hinterlegt ist.

Nicht jeder benötigt für jede Instanz ein EV SSL/TLS-Zertifikat. Sie sind am besten für Webseiten mit hohem Bekanntheitsgrad reserviert, auf die Angreifer häufig Phishing-Angriffe durchführen. Dazu gehören im Allgemeinen Einzelhändler, große Technologiefirmen, Banken und Finanzinstitute.

Schutz vor Phishing mit Zertifikaten

EV-Zertifikate helfen beim Schutz vor ausgeklügelten Phishing-Techniken. Als Reaktion auf die wachsende Zahl von Internetnutzern haben sich Betrüger dazu entschlossen, für ihre überzeugenden Phishing-Domains betrügerische „Nur-Domain“-SSL/TLS-Zertifikate zu erwerben. Ein Beispiel hierfür wäre ein Zertifikat für paypa1.com (wobei die Zahl 1 den Kleinbuchstaben "L" durch die Zahl 1 ersetzt). Dieses hautnahe Niveau des scheinbaren Schutzes täuschte erfolgreich frühere Versionen von Webbrowsern, da sie nicht in der Lage waren, zwischen vollständig verifizierten SSL/TLS-Zertifikaten und einfach zu erwerbenden „Nur-Domain“-Digitaldateien zu unterscheiden. Infolgedessen hielten viele Benutzer diese gefälschten Websites für echt und gaben ihre sensiblen Informationen bereitwillig preis.

Im Vergleich dazu können Angreifer nicht einfach ein EV-Zertifikat erhalten, da der Umfang der Verifizierung einer Zertifizierungsstelle genügend Raum lässt, um Diskrepanzen in den Anwendungen der Angreifer zu erkennen. Wenn sie jedoch in der Lage sind, bestehende EV-Zertifikate zu stehlen oder zu kompromittieren, haben sie Zugang zu einem viel größeren Vertrauensbereich.

Fazit

Der Vorfall bei DigiCert zeigt, dass der manuelle Austausch von Zertifikaten überholt ist. Es ist den Web-Administratoren nicht zu zumuten innerhalb von wenigen Tagen nachzuschauen, bei welchem Projekt sie welches Zertifikat eingesetzt haben und sich dann mit dem Inhaber der Webseite auszutauschen und dieses schnell zu ersetzen. Hier müssen dringend automatisierte Prozesse eingeführt werden, vor allem, wenn es nicht um ein Zertifikat bei einer Webseite, sondern um viele Zertifikate bei verschiedenen Webseiten eines Unternehmens geht. Automation hilft den Verwaltungsaufwand in solchen Fällen zu reduzieren und schützt vor Missbrauch durch cyberkriminelle Profiteure. Web-Administratoren benötigen Übersicht über alle verwendeten Maschinenidentitäten. Sie brauchen die Intelligenz, dass die TLS-Zertifikate ein Problem darstellen und drittens kann ein automatisierter Prozess den Austausch der problematischen Maschinenidentitäten in wenigen Sekunden vornehmen.

Kevin Bocek, VP Security Strategy & Threat Intelligence
Kevin Bocek
VP Security Strategy & Threat Intelligence, Venafi

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Jul 24, 2020

Cyberkriminalität - Auf welche Bereiche Sie achten sollten

Quasi über Nacht wurde in vielen Unternehmen wegen des Coronavirus auf Home-Office und…
Phishing Email
Jul 20, 2020

Höhepunkt von Coronavirus-bezogenen Phishing-E-Mails

KnowBe4, ein Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und…
SSL/TLS-Zertifikate
Jul 18, 2020

SSL/TLS-Zertifikate gelten nun maximal ein Jahr

Ab dem 1. September dieses Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum…

Weitere Artikel

Data Science

Wie KI-Teams Cyberangreifer stoppen können

Trotz der erstaunlichen Fortschritte bei der Leistung der künstlichen Intelligenz in den letzten Jahren ist keine KI perfekt. Tatsächlich wird die Unvollkommenheit einer KI in der Regel durch die Messung der Genauigkeit des Modells an einem Testdatensatz…
Kritis

Cyber Resilience im Unternehmen etablieren

Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der KRITIS-Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Da ist noch…
Code

Quellcode dutzender Unternehmen öffentlich zugänglich

Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus exponierten Repositories von Dutzenden von Unternehmen aus unterschiedlichen Branchen (Technologie, Finanzen, Einzelhandel, Lebensmittel, eCommerce, Fertigung) aufgrund von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!