SSL-Zertifikate bei vielen CA manipulierbar

30. Juli 2009, 15:47 | Autor: Marc | Kategorie(n) Sicherheit.

Moxie Marlinspike hat in seinem Vortrag auf der Black Hat in Las Vegas eine Möglichkeit aufgezeigt, SSL-Zertifikate für beliebige Domains zu fälschen.

Viele Certificate Authorities lassen es demnach zu, vor dem gültigen Domainnamen das Null-Zeichen ‘\0′ und wiederum davor einen beliebigen anderen Doaminnamen zu setzen, welcher dann als Subdomain behandelt wird. Im genannten Beispiel mit Marlinspikes eigener Domain thoughtcrime.org sah das so aus: www.paypal.com\0.thoughtcrime.org

Das eigentliche, gefährliche Fehlverhalten zeigen nun alle verbreiteten Browser (mit Ausnahme des aktuellen Firefox 3.5). Diese interpretieren das Zeichen ‘\0′ als Stoppzeichen. Folglich wird das Zertifikat im o.g. Beispiel für die Domain www.paypal.com als gütig interpretiert.

Firefox 3.5 erkennt die so manipulierten Zertifikate als ungültig. Für den Internet Explorer soll ein Patch in Arbeit sein.

QR Code für SSL-Zertifikate bei vielen CA manipulierbar

 

Kommentieren