Software::Security
EFF untersucht Webserver-Zertifikate
Die Electronic Frontier Foundation (EFF) hat das »EFF SSL Observatory« gegründet, das die Zertifikate von Webservern analysieren will.
Electronic Frontier Foundation
HTTPS ist nach Auffassung der gemeinnützigen
Electronic Frontier Foundation ein äußerst wichtiges Protokoll, da es die vollständig verschlüsselte Übertragung von Daten von und zu Webservern ermöglicht. Für die Verschlüsselung ist jedoch ein privater Schlüssel nötig, dessen Hash im X.509-Jargon Zertifikat heißt, und dieses Zertifikat muss signiert sein. Während jeder seinen eigenen Schlüssel und sein eigenes Zertifikat erzeugen und selbst signieren kann, ist der Schlüssel eher vertrauenswürdig, wenn er von einer Certificate Authority (CA) signiert wurde. Einige dieser CAs genießen so viel Ansehen, dass ihre Stammzertifikate von den Browser-Herstellern standardmäßig mitgeliefert werden.
Die eigentliche Verschlüsselung in HTTPS erfolgt mit SSL oder TLS, daher wird auch von SSL-Zertifikaten gesprochen. Um zu ermitteln, wie es um die Sicherheit dieser Zertifikate bestellt ist, hat die EFF das »SSL Observatory« gegründet. Es soll idealerweise das Web nicht nur einmal, sondern kontinuierlich analysieren.
Die EFF hat nun in einem ersten Schritt ermittelt, wieviele CAs es gibt und welche Eigenschaften sie aufweisen. Dazu hat sie von allen Webservern, die sie mit Nmap ermitteln konnte, die SSL-Zertifikate heruntergeladen und in einer Datenbank gespeichert. Die Datenbank soll demnächst öffentlich zugänglich sein. Der Umfang der Datenbank liegt bei bis zu 10,8 Mio. Zertifikaten, von denen laut EFF mindestens 4,3 Mio. gültige Zertifikatsketten aufweisen. Nach Aussortierung der Duplikate bleiben 1,377 Mio. individuelle gültige Zertifikate.
Die Zahl der gefundenen CAs geht in die Tausende, darunter sind 1.482, denen durch die in den Browsern vorhandenen Zertifikate ohne Rückfrage beim Benutzer vertraut wird; sie stammen von 651 verschiedenen Organisationen. Die Präsentation (PDF) analysiert viele Einzelheiten; kurios sind dabei Zertifikate für die privaten Domains 192.168.* und die über 6000 Zertifikate für localhost, die teils von renommierten CAs signiert wurden.
Die über zwei Jahre alte SSL-Sicherheitslücke von Debian zeigt immer noch Auswirkungen. 28.000 Zertifikate mit schwacher Verschlüsslung wurden entdeckt, davon waren allerdings nur 530 gültig, davon wiederum 73 per »Revoke« für ungültig erklärt. Die EFF hat nach eigenen Angaben die Inhaber der Zertifikate verständigt, damit sie Maßnahmen ergreifen.
Das Projekt wird von der EFF in Zusammenarbeit mit Jesse Burns von iSEC Partners durchgeführt und teilweise von NLnet finanziert.
){kind=small}
