Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: CAs: Was bringt die Zukunft?

Die Zertifizierungsstellen (CAs) für SSL-Zertifikate sägen den Ast ab, auf dem sie selber sitzen: Durch Vorfälle wie Zertifizierung: Google entzieht Symantec 2018 das Vertrauen zerstören sie systematisch das Vertrauen in sich selbst und die von ihnen ausgestellten Zertifikate. Stellen Sie sich vor, Sie brauchen ein neues Schloss für Ihre Haustür. Kurz vor der Kaufentscheidung erfahren Sie, dass der Hersteller Ihrer Wahl nicht nur normale Schlösser und Schlüssel im Angebot hat, sondern auch einen Universalschlüssel, der für alle jemals hergestellten und auch zukünftig hergestellten Schlösser aller Schlösserhersteller passt. Würden Sie dann noch ein neues Schloss kaufen, oder würden Sie nicht lieber nach einer anderen, zuverlässigeren Methode zum Sichern Ihrer Haustür suchen? Und auch wenn sie gerade kein neues Schloss brauchen, würden Sie bei dieser Nachricht nicht aufhorchen und überlegen, wie Sie Ihr Haus in Zukunft vor ungebetenen Besuchern schützen wollen? Nun, wenn Sie SSL-Zertifikate verwenden, dann sollten Sie jetzt über Alternativen nachdenken. Denn eine CA hat so einen Universalschlüssel verkauft: Ein Zertifikat, mit dem der Käufer sich beliebige Zertifikate selbst ausstellen kann, also auch z.B. für Google, Microsoft usw. usf. Mit einem solchen gefälschten Zertifikat kann er sich dann unbemerkt als Man-in-the-Middle in SSL-geschützte Verbindungen mit dem entsprechenden Server einklinken. Konkret geht es um Symantec. Der Suchmaschineriese Google hatte Symantec mehrfach dabei erwischt, unberechtigterweise Zertifikate auf google.com ausgestellt zu haben. In der Folge hat Google den von Symantec unterschriebenen Zertifikaten schrittweise das Vertrauen entzogen. So sollte Chrome die Extened-Validation-Zertifikate bereits seit Anfang des Jahres herabstufen und einen niedrigen Sicherheitsstatus anzeigen. Google macht keinen Hehl daraus, dass Symantecs Zertifikate schon mittelfristig ganz aus Chrome verschwinden sollen. Der veröffentlichte Beitrag in Googles Security-Blog zu Chromes Plan, den Zertifikaten von Symantec das Vertrauen zu entziehen legt den Plan für diese absehbare Ausmusterung fest. Symantec hat bereits reagiert und will komplett aus dem Geschäft mit den Zertifikaten aussteigen. Für 950 Millionen US-Dollar verkaufte der ehemalige Marktführer diesen Teil seines Geschäfts an den Konkurrenten DigiCert. Dieser soll nach Googles Vorstellung eine neue technische Infrastruktur aufbauen und mit dieser dann ab dem 01.12.2017 neue Zertifikate ausstellen können. Über diese liesse sich dann auch die allfällige Neuausstellung abwickeln.

„Man in the Middle Zertifikate“ – Ein generelles Problem

Symantec – jedoch auch diverse andere CAs wie bsp. Trustwave – haben mit ihrem Verhalten bewiesen,  dass man auch scheinbar seriösen CAs nicht unbedingt vertrauen kann. Die Gefahr von MitM(Man in the Middle)-Angriffen mit Hilfe entsprechender Zertifikate ist aber ein generelles Problem. Zum einen kann jede CA selbst beliebige Zertifikate ausstellen. Zum anderen kann jede „Subordinate CA“, d.h jede Organisation mit einem Intermediate-Zertifikat, ebenfalls beliebige Zertifikate ausstellen. Ebenso wie Chrome (Google) hatten die Firefox-Entwickler ein E-Mail an alle in Mozillas „Root Programm“ enthaltenen CAs geschickt, in dem man diese darauf aufmerksam machte, dass das Ausstellen solcher „MitM-Zertifikate“ inakzeptabel sei. Dieses E-Mail ist meiner Meinung nach  ein schlechter Witz im Bezug zum Kontext. Jeder CA sollte klar sein, dass so ein „MitM-Zertifikat“ SSL den Todesstoss versetzt – wer über so ein Zertifikat verfügt, kann alle über seinen Server laufenden SSL-Verbindungen aufbrechen und belauschen oder gar manipulieren. Wenn man das den CAs erklären muss, haben diese nicht begriffen, was sie da eigentlich betreiben – und dann liegt das sprichwörtliche Kind nicht nur im Brunnen, sondern ist schön längst ertrunken.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.