Malvertising zeigt Schwachstelle der CA-Alternative Let's Encrypt auf

Eigentlich wollte die kostenlose CA-Alternative Let's Encrypt mit gratis SSL-Zertifikate für jedermann für mehr Sicherheit im Internet sorgen. Doch jetzt wurde Let's Encrypt für eine Malvertising-Kampagne, also für das Einschleusen von Malware über ... mehr... Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Bildquelle: EFF Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt EFF

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Am besten gefällt mir an der News eigentlich die Information, dass Malware über Werbemittel eingeschleust wird ;)

Aber ernsthaft: Was hat das mit LetsEncrypt im Speziellen zu tun? Könnte man den / das Exploit nicht mit jedem beliebigen kostenlosen Zertifikat ausstatten? Oder habe ich was überlesen? Andernfalls wäre die Überschrift ja irgendwie missverständlich, oder? Der Vorwurf sollte dann wirklich eher in Richtung der Ad-Server / CDN gehen, wie es im Artikel ja auch kurz angesprochen wird. Oder anders gefragt, welche CA prüft aktiv und im Detail, ob ihre Zertifikate auch nach der Ausstellung nicht für bösartige Zwecke genutzt werden?
 
@xploit: Ja natürlich. Oder auch gekaufte. Die News ist einfach Schwachsinn und hat nichts mit LE zu tun.
 
@EvilMoe: Naja, als Schwachsinn würde ich sie nicht bezeichnen, der Grundtenor ist korrekt: wenn Ressourcen von dritten Quellen nachgeladen werden - und dazu gehören nun mal Werbemittel von anderen Servern - geht davon eine Gefahr aus. Hier werden nur irgendwie die falsche Schlüsse vermittelt. Ich verstehe den Vorwurf in Richtung CA einfach nicht. Ist das Zertifikat einmal draußen, kann diese es schwer "remote" für ungültig erklären. Man muss warten bis es abläuft und dann gibts halt kein neues. Ein sofortiger Eingriff kann nur und sollte über die Server geschehen, die die Malware ausliefern.
 
@xploit: sorry, das ist falsch. jede CA kann ihre ausgestellten zertifikate jederzeit revoken (für ungültig erklären).
 
@nemail: Naja... ich schrieb aber "schwer remote für ungültig erklären". Eine CRL muss ja gepflegt und genutzt werden. Und wenn schon IE, Chrome und Firefox den CRL-Prozess unterschiedlich handeln, was ist erst mit den zig Clients, die Werbung über HTTPS abrufen, wie z.B. mobile Shopping-Apps? Safari z.B. scheint CRL gar nicht zu nutzen? Was ist, wenn der Browser die CRL sinnigerweise cached?
 
@xploit: das ist dann aber nicht der ca anzulasten sondern den browserherstellern. dieses problem hat dann jede ca.
 
@nemail: du hast Recht, nichts anderes wollte ich ver-argumentieren :)
 
Es ist einfach die falsche Denkweise. Ein SSL-Zertifikat sichert lediglich die Kommunikation mit dem Server ab, dass kein Außenstehender mitlesen kann. Was übertragen wird liegt völlig außerhalb der Idee von SSL.
 
@eshloraque: Sehe ich ähnlich. Ein CA-Zertifikat soll ja nur die Echtheit des Zertifikats garantieren, indem die Zertifizierungsstelle den Betreiber der Webseite überprüft. Bei EV-Zertifikaten geht es natürlich noch etwas weiter, aber die bietet LE ja nicht an.

Und TLS/SSL ist am Ende nur eine verschlüsselte Übertragung. Ob da nun harmloser HTML-Code oder Schadsoftware übertragen wird ist ein ganz anderes Problem. Da sind, in dem konkreten Fall, die Betreiber der Werbenetzwerke eher in der Pflicht als LE.
 
@eshloraque: Jo seit wann ist ein Zertifikat ein Antimalwaredienst.
 
@eshloraque: Das steht so ja schon im Artikel "Man könne der CA nicht noch eine Prüfung der Inhalte auferlegen"...Nadine hat m.E. nur die falsche Überschrift und die falsche Einleitung gewählt.
 
@xploit: Die überschrift rennt derzeit durch alle newsseiten da n diesem speziellen fall ein lets encrypt zertifikat für eine ertrauenswürdige Domain nicht Malware heut gehört ausgestellt der sich dann der subdomains steht über diese in asien Malware verteilt. Das hier liegt aber immer nicht bei le einen dns Betreiber derdomain.
 
Das kommt davon, wenn man SSL nicht versteht und es dann anbietet. War ja klar, daß das passiert.

Wenn jeder Honk da kommen kann und ein SSL-Zertifikat nicht nur anfordern, sondern auch noch mehr oder weniger garantiert kostenlos(!) kriegt, dann kommt am Ende dasselbe wie "Email" dabei raus. Also sozusagen "SSL-Spam".

Daß man dann nicht mehr von Sicherheit reden kann, sollte auf der Hand liegen - sollte von anfang an auf der Hand gelegen haben! --- sodaß man jetzt nun nicht ernsthaft noch meckern kann (darf).

Noch kann man das CA-Zertifikat widerrufen und sagen, okay so haben wir uns das nicht vorgestellt gehabt.

Aber, wenn da nix passiert, dann war es das mit dem Vertrauen und ohne Vertrauen keine Zertifikate und ohne Zertifikate kein SSL.

Glückwunsch, L/E-Befürworter und -unterstützer.
 
@RalphS: 6, setzen!
 
@RalphS: Da hat einer aber mal ganz und gar nicht verstanden, wofür SSL / TLS Verbindungen genutzt werden. TLS = Transport Layer Security. Es geht um eine sichere Übertragung des Inhaltes. Egal, ob Katzenvideos oder Malware.
 
@RalphS: Du meinst also für TLS sollte ich Geld hinblätter müssen. Wenn ja, wie viel? Alles unter 100 €/Jahr ist nicht vertrauenswürdig? Oder 1000 €/Jahr? Eine Million?
TLS soll nur sicherstellen, dass die Kommunikation zwischen den beiden Endpunkten weder im Klartext mitgeschnitten noch verändert werden kann, aber es soll nicht garantieren, dass ich auch wirklich den richtigen Server erwischt habe. Das geht frühstens im engen Maße mit Erweiterungen im Protokoll.

PS: Und wenn du das LE-root widerrufen möchtest bitte alle Roots, die für Zertifikate unter 10.000 €/Jahr verwendet werden auch.
 
@RalphS: RalphS hat doch nicht so ganz Unrecht... Ganz früher war SSL nur für Bankseiten u.Ä. , dann kam HTTPS für z.B. den Amazon Login, auch noch okay. Aber dann? Facebook, Google, Wikipedia und karl-heinz-seine-dolle-neue-homepage.de war auch HTTPS. Hinzu kommen noch etliche Meldungen wie diese hier, wo es um kostenlose SSL Zertifikate geht oder SSL Zertifikate die sonst irgendwo herkommen. Ich sage nicht, dass kostenpflichte SSL Zertifikate zwangsläufig besser sind, aber ein Verbesserungsvorschlag an Chrome oder IE/Edge die SSL Warnungen standardmäßig nicht mehr anzuzeigen, da sie sowieso jeder ignoriert aber doch etwas störend wirken, könnte mittlerweile Aussicht auf Erfolg haben.
Was genau da überhaupt noch bei SSL so technisch passiert ist doch relativ egal, wenigstens für den Endanwender. Übertragung ohne SSL, mit SSL oder SSL + Warnung, interessiert das überhaupt noch einen? Höchstens noch diejenigen die auf "E-Mail made in Germany"" vertrauen... Aber bestimmt bei Vielen nicht mehr SSL=Vertrauen=Sicher, das Thema ist durch.
 
@Lastwebpage: Nö, hat er nicht. Er hat nämlich nicht im geringsten Verstanden, dass SSL nur dafür steht, dass der Weg zum Ziel sicher oder zumindest direkt ist, nicht das Ziel selbst. Was anderes war SSL nie und wird es auch nie sein. Einen Leitsatz wie "SSL=Vertrauen=Sicher" in dem von dir und von ihm verwendeten Kontext gab es schlicht nie.
 
@NewRaven: Mir ist das durchaus bekannt, nur dem Otto-Normal-Nutzer? Da sollte man vielleicht doch mal Nachfragen, ob er überhaupt mit HTTPS, SSL &Co etwas anfangen kann, außer "Ich musste wegen dem Ding Anfang des Jahres was in meinem EMailprogramm ändern" (letztes Jahr sind ja GMX, Telekom &Co auf SSL/TLS bei eMails umgestiegen) oder "Für das Ding habe ich so ein Symbol im Browser" und wenn ja, was er überhaupt darüber denkt.
 
@Lastwebpage: Dem ist das nicht bekannt. Allerdings ist den meisten davon auch einzig bekannt, dass das komische Schloß in ihrem Browser "gesicherte Verbindung" heißt, ohne das allerdings genau definieren zu können. Ohne jetzt eine große Umfrage dazu gestartet zu haben, würde ich sagen, die meisten dieser unbedarften Anwender setzen das in Vergleich zu einer abhörsicheren Telefonverbindung, wie sie sie aus Spionagefilmen kennen (und damit liegen sie garnicht so falsch) und erwarten somit auch nicht, dass das Gegenüber ihnen nun nichts Böses will. Es ist ein Tunnel, vom Start zum Ziel. Der schützt zwar auch gegen einige Einflüsse von außen, trotzdem ist er vom Start- und Zielpunkt frei befahrbar - auch für Geisterfahrer, Profikiller und Psychopathen. Ich habe jetzt auch nicht wirklich mitbekommen, das TLS der breiten Masse irgendwie irgendwann als etwas anderes Vermarktet worden wäre. Sollte es also da draußen wirklich eine Masse an Menschen geben, die gedacht haben "SSL=Vertrauen=Sicher" dann haben die sich diese Definition selbst zusammen gelegt. SSL tut das, wofür es geschaffen wurde. Und dafür kann es in der Tat nicht genug an Verbreitung gewinnen, denn dieser Layer an Sicherheit, den es in der Realität wirklich darstellt, ist nun einmal wichtig. Insofern ist seine Kritik an den "freien Zertifikaten" die er mit Äußerungen untermauert, die zeigen, dass er eigentlich keine Ahnung hat, wovon er da redet, einfach nur dumm. Es kann keine " zu inflationäre Verwendung von SSL" geben, weil dieser "geschützte Tunnel" schlicht und ergreifend schon seit Anbeginn des Netzes Standard für jedes interaktive Webangebot hätte sein müssen, bei dem Daten zwischen Betreiber und User getauscht werden. Schlicht und erreifend, weil es keinen wirklichen Grund gibt, sie nicht derart zu schützen.
 
@RalphS: dass alles was über ssl übertragen wird vertrauenswürdig und sicher ist wurd jahre lang propagiert um beim ottonormal user eine awareness dafür zu schaffen.
am ende des tages ist ssl/tls aber nur dafür da, die daten verschlüsselt zu übertragen. bei einfachen zertifikaten wie LE sie ausstellt ist die einzige pflicht von LE, festzustellen ob der antragsteller die hoheit über die entsprechende domain hat.
einfache zertifikate sind nur dazu da die daten zu verschlüsseln und zu garantieren dass der server der sich da meldet auch derjenige ist zu dem man hinwollte (stichwort man in the middle attacke).
 
Der Artikel ist etwas... äh... einseitig geschrieben. Und zwar nur von Seiten von Trend Micro, die selbst ganz zufällig eine eigene kommerzielle Zertifizierungsstelle unterhalten. Wie hier in den Kommentaren schon erwähnt, ist das geschilderte Problem weder LE-spezifisch, noch ist es die Aufgabe eines solchen Zertifikats vor bewusst platzierter Malware zu schützen. Das Zertifikat soll einzig sicher stellen, dass die durch SSL geschützte Verbindung genau zu dem Ziel führt (und ja, auch nur zu entsprechender Subdomain) für die das Zertifikat ausgestellt wurde. Die Kollegen von Golem berichten da etwas sachlicher drüber: http://www.golem.de/news/let-s-encrypt-kostenlose-zertifikate-angeblich-auch-fuer-malware-1601-118398.html - und auch der dort verlinkte Blogpost zu Ryan Hursts Artikel ist interessant.
 
Wenn man sich den Originalartikel durchliest, fällt noch was auf: Die Kriminellen haben gar nicht das Zertifikat bei Lets Encrypt bestellt. Sie haben schlicht einen Server mit gültigem Zertifikat gefunden und für diesen eine Subdomain eingerichtet, die aber auf ein bösartiges JavaScript (als GIF getarnt) zeigte: "The cybercriminals had compromised a legitimate website and set up a subdomain that led to a server under their control, [...]"

Das Problem betrifft also generell Wildcard-Zertifikate. Und überhaupt gar nicht Lets Encrypt-Zertifikate. Könnte man im Text ruhig mal erwähnen, Nadine! ;)

//EDIT
Interessanterweise stellt LE gar keine WildCard-Zert. aus. Also waren die Criminals in der Lage für die CSR direkt einen PrivateKey auszustellen und es gab tatsächlich ein explizites Zert. von LE. Dann hatten sie ja noch mehr Zugriff auf die Website, als vermutet. Warum muss man die ganzen Zusatzinfos eigentlich selber recherchieren und bekommt das nicht hier geliefert?
 
LE ist ein Segen!
Ich lasse ALLE meine AWS Ubuntu-Webserver, damit monatlich ein neues LE-Zertifikat holen per Cronjob ;)
 
@shiversc: Ebenso nur mach ich es auf unseren maschinen die in diversen rechenzentren stehen und meinen privaten windows servern auf azure
 
Würde sich ganz simpel regeln lassen.
Einfach die Werbeschleudern für ausgelieferte Inhalte in Regress nehmen, und zwar ganz pauschal, und auch für Privatkunden einforderbar (für bei der anschliessenden Säuberung des Rechners anfallende Kosten z.B.).
Die Verantwortlichkeiten würden schlagartig steigen und somit die Sicherheit.
Stattdessen werden aber lieber Feldzüge gegen Werbeblocker gefahren, komische Welt.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter