Malvertising zeigt Schwachstelle der CA-Alternative Let's Encrypt auf

Eigentlich wollte die kostenlose CA-Alternative Let's Encrypt mit gratis SSL-Zertifikate für jedermann für mehr Sicherheit im Internet sorgen. Doch jetzt wurde Let's Encrypt für eine Malvertising-Kampagne, also für das Einschleusen von Malware über Werbebanner, ausgenutzt. Die von Trend Micro aufgedeckte Malvertising-Kampagne deckt dabei ein großes Problem der CA-Alternative beziehungsweise der Zertifikats-Anbieter allgemein auf. Denn obwohl nun bekannt ist, dass ein Let's Encrypt-Zertifikat dafür genutzt wird, eine Seite die das gefährliche Exploit-Kit Angler verteilt, zu verschlüsseln und damit ihre schädlichen Absichten zu verbergen, greift Let's Encrypt nicht ein. Man könnte theoretisch das benutzte Zertifikat widerrufen, so dass die Malware-Aktivität nicht weiter verschleiert wird, schreibt das Magazin Computerworld. Somit würde man den Cyberkriminellen zumindest vereiteln, sich mit einem kostenlosen SSL-Zertifikat trügerische Sicherheit zu erschleichen.
Trend Micro hat eine Malvertising-Kampagne... ... entdeckt, die mit Hilfe eines Let's Encrypt SSL-Zertifikats die besuchte Webseite als sicher darstellt.

Bedrohlichkeit kann nicht von CA geprüft werden

Allerdings widerspricht dem ein Sprecher des Let's Encrypt-Zusammenschlusses. Denn die Zertifikatstelle sichere sich über die Google Safe Browsing API ab, prüfte so, ob eine Webseite als bedrohlich eingestuft sei oder nicht. Man könne der CA nicht noch eine Prüfung der Inhalte auferlegen. Wenn Cyberkriminelle sich einer Webseite bemächtigen, wie das in dem von Trend Micro entdeckten Fall passiert ist, helfe ein anschließender Widerruf des SSL-Zertifikats auch nicht mehr, erklärte ein Let's Encrypt-Sprecher. Man wäre nach einem Verdachtsfall gar nicht in der Lage, schnell genug zu reagieren und eine ordnungsgemäße Prüfung durchzuführen, heißt es in dem Bericht von Computerworld.

Mehr Verantwortung bei den Werbelieferanten

Hilfreich sei vielmehr eine bessere Absicherung von Werbeservern, die Anbieter müssten viel mehr für die Sicherheit ihrer Kampagnen tun, um nicht für die Auslieferung von Schadsoftware ausgenutzt zu werden.

Kritik von Trend Micro

Kommerzielle Zertifizierungsstellen gehen vor der Vergabe dabei im Grunde bei der Identitätsprüfung deutlich weiter, als das die kostenlose CA-Alternative Let's Encrypt macht. Dennoch ist selbst das nicht unbedingt eine Sicherheit, CA-Stellen müsste mehr Verantwortung übernehmen, um Zertifikate ebenso einfach zu sperren, wie sie sie herausgeben. Auch Trend Micro selbst hat ein eigenes SSL-Angebot und kritisiert seinen neuen Konkurrenten wahrscheinlich nicht ganz ohne Hintergedanken.

Siehe auch: Let's Encrypt Beta jetzt mit gratis SSL-Zertifikate für jedermann