Login
Newsletter
Werbung

Fr, 21. Februar 2020, 08:14

Software::Security

Let's Encrypt validiert mehrfach

Die Zertifizierungsstelle Let's Encrypt führt eine automatische mehrstufige Überprüfung ein, um festzustellen, ob eine zu validierende Domain auch unter der Kontrolle des Antragstellers für ein Zertifikat ist.

Internet Security Research Group

Wer bei der Zertifizierungsstelle Let's Encrypt ein kostenloses und automatisch ausgestelltes Zertifikat für eine Domain beantragt, muss im Rahmen einer sogenannten Challenge nachweisen, dass er Zugriff auf die Domain hat. Dabei muss der Antragsteller ein Token in einem bestimmten Pfad des Servers ablegen. Anschließend wird im Validierungsprozess überprüft, ob die Challenge erfolgreich absolviert wurde. Dieser Vorgang war bisher einstufig.

Wie Forscher der Universität von Princeton in einem Papier darlegen, kann der Validierungspfad, also die Route, die die CA zur Überprüfung verwendet, über das Border Gateway Protocol (BGB) gekapert und umgebogen und somit ein Zertifikat für eine Domain erlangt werden, die nicht im Besitz des Angreifers ist.

Nach Einschätzung von Geschäftsführer Josh Aas ist das BGP nicht sicher. Es gebe zwar mit RPKI und BGPsec Bestrebungen zu dessen Absicherung, auf deren Umsetzung wolle man aber nicht warten. Wie in einem aktuellen Blog-Beitrag des Projekts zu lesen ist, kommt deshalb ab sofort eine mehrstufige Validierung aus mehreren Netzwerkperspektiven zum Einsatz. Damit ist Let's Encrypt die erste Zertifizierungsstelle mit einem derartig aufgefächerten, praktisch eingesetzten Validierungsprozess.

Der neue Prozess schließt neben dem bisherigen Let's-Encrypt-Server im eigenen Rechenzentrum drei Cloud-Server an verschiedenen Standorten, allerdings beim gleichen Cloud-Provider, mit ein. Künftig sollen Server von verschiedenen Cloud-Providern eingesetzt werden. Damit wird eine Kompromittierung des Validierungsprozesses schwieriger, da ein Angreifer drei zusätzliche Routen übernehmen müsste, um die Challenge zu absolvieren.

Werbung
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung