Software::Security
Let's Encrypt validiert mehrfach
Die Zertifizierungsstelle Let's Encrypt führt eine automatische mehrstufige Überprüfung ein, um festzustellen, ob eine zu validierende Domain auch unter der Kontrolle des Antragstellers für ein Zertifikat ist.
Internet Security Research Group
Wer bei der Zertifizierungsstelle Let's Encrypt ein kostenloses und automatisch ausgestelltes Zertifikat für eine Domain beantragt, muss im Rahmen einer sogenannten Challenge nachweisen, dass er Zugriff auf die Domain hat. Dabei muss der Antragsteller ein Token in einem bestimmten Pfad des Servers ablegen. Anschließend wird im Validierungsprozess überprüft, ob die Challenge erfolgreich absolviert wurde. Dieser Vorgang war bisher einstufig.
Wie Forscher der Universität von Princeton in einem Papier darlegen, kann der Validierungspfad, also die Route, die die CA zur Überprüfung verwendet, über das Border Gateway Protocol (BGB) gekapert und umgebogen und somit ein Zertifikat für eine Domain erlangt werden, die nicht im Besitz des Angreifers ist.
Nach Einschätzung von Geschäftsführer Josh Aas ist das BGP nicht sicher. Es gebe zwar mit RPKI und BGPsec Bestrebungen zu dessen Absicherung, auf deren Umsetzung wolle man aber nicht warten. Wie in einem aktuellen Blog-Beitrag des Projekts zu lesen ist, kommt deshalb ab sofort eine mehrstufige Validierung aus mehreren Netzwerkperspektiven zum Einsatz. Damit ist Let's Encrypt die erste Zertifizierungsstelle mit einem derartig aufgefächerten, praktisch eingesetzten Validierungsprozess.
Der neue Prozess schließt neben dem bisherigen Let's-Encrypt-Server im eigenen Rechenzentrum drei Cloud-Server an verschiedenen Standorten, allerdings beim gleichen Cloud-Provider, mit ein. Künftig sollen Server von verschiedenen Cloud-Providern eingesetzt werden. Damit wird eine Kompromittierung des Validierungsprozesses schwieriger, da ein Angreifer drei zusätzliche Routen übernehmen müsste, um die Challenge zu absolvieren.