Malvertising zeigt Schwachstelle der CA-Alternative Let's Encrypt auf

Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Bildquelle: EFF
Eigentlich wollte die kostenlose CA-Alternative Let's Encrypt mit gratis SSL-Zertifikate für jedermann für mehr Sicherheit im Internet sorgen. Doch jetzt wurde Let's Encrypt für eine Malvertising-Kampagne, also für das Einschleusen von Malware über Werbebanner, ausgenutzt.
Die von Trend Micro aufgedeckte Malvertising-Kampagne deckt dabei ein großes Problem der CA-Alternative beziehungsweise der Zertifikats-Anbieter allgemein auf. Denn obwohl nun bekannt ist, dass ein Let's Encrypt-Zertifikat dafür genutzt wird, eine Seite die das gefährliche Exploit-Kit Angler verteilt, zu verschlüsseln und damit ihre schädlichen Absichten zu verbergen, greift Let's Encrypt nicht ein. Man könnte theoretisch das benutzte Zertifikat widerrufen, so dass die Malware-Aktivität nicht weiter verschleiert wird, schreibt das Magazin Computerworld. Somit würde man den Cyberkriminellen zumindest vereiteln, sich mit einem kostenlosen SSL-Zertifikat trügerische Sicherheit zu erschleichen.
Trend Micro: Malvertising mit Let's EncryptTrend Micro hat eine Malvertising-Kampagne... Trend Micro: Malvertising mit Let's Encrypt... entdeckt, die mit Hilfe eines Let's Encrypt SSL-Zertifikats die besuchte Webseite als sicher darstellt.

Bedrohlichkeit kann nicht von CA geprüft werden

Allerdings widerspricht dem ein Sprecher des Let's Encrypt-Zusammenschlusses. Denn die Zertifikatstelle sichere sich über die Google Safe Browsing API ab, prüfte so, ob eine Webseite als bedrohlich eingestuft sei oder nicht. Man könne der CA nicht noch eine Prüfung der Inhalte auferlegen. Wenn Cyberkriminelle sich einer Webseite bemächtigen, wie das in dem von Trend Micro entdeckten Fall passiert ist, helfe ein anschließender Widerruf des SSL-Zertifikats auch nicht mehr, erklärte ein Let's Encrypt-Sprecher. Man wäre nach einem Verdachtsfall gar nicht in der Lage, schnell genug zu reagieren und eine ordnungsgemäße Prüfung durchzuführen, heißt es in dem Bericht von Computerworld.

Mehr Verantwortung bei den Werbelieferanten

Hilfreich sei vielmehr eine bessere Absicherung von Werbeservern, die Anbieter müssten viel mehr für die Sicherheit ihrer Kampagnen tun, um nicht für die Auslieferung von Schadsoftware ausgenutzt zu werden.

Kritik von Trend Micro

Kommerzielle Zertifizierungsstellen gehen vor der Vergabe dabei im Grunde bei der Identitätsprüfung deutlich weiter, als das die kostenlose CA-Alternative Let's Encrypt macht. Dennoch ist selbst das nicht unbedingt eine Sicherheit, CA-Stellen müsste mehr Verantwortung übernehmen, um Zertifikate ebenso einfach zu sperren, wie sie sie herausgeben. Auch Trend Micro selbst hat ein eigenes SSL-Angebot und kritisiert seinen neuen Konkurrenten wahrscheinlich nicht ganz ohne Hintergedanken.

Siehe auch: Let's Encrypt Beta jetzt mit gratis SSL-Zertifikate für jedermann

Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt EFF
Diese Nachricht empfehlen
Kommentieren26
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 UhrCAT S40 Outdoor Smartphone (Dual-SIM, 4,7 Zoll (11,94 cm) , 8 MP, 1GB, 16GB int. Speicher, LTE, staubfest, stoß und sturzfest)
CAT S40 Outdoor Smartphone (Dual-SIM, 4,7 Zoll (11,94 cm) , 8 MP, 1GB, 16GB int. Speicher, LTE, staubfest, stoß und sturzfest)
Original Amazon-Preis
340,90
Im Preisvergleich ab
328,00
Blitzangebot-Preis
305,70
Ersparnis zu Amazon 0% oder 35,20

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden