svetazi - stock.adobe.com
Welche Risiken bergen nicht vertrauenswürdige Zertifikate?
Viele im Web eingesetzte Zertifikate sind nicht mehr vertrauenswürdig. Das führt schnell zu einem Abfall der Besucherzahlen. Was Unternehmen bei Zertifikaten beachten müssen.
Bereits 2017 kündigten Google und Mozilla an, Zertifikaten von Symantec nicht mehr länger vertrauen zu wollen. Nun hat aber ein Forscher herausgefunden, dass von den bei Alexa als Top-One-Million gelisteten Webseiten immer noch rund 100.000 nicht mehr vertrauenswürdige Zertifikate nutzen. Sind 100.000 aus einer Million sehr viel und was sind die Sicherheitsrisiken bei der Verwendung nicht mehr vertrauenswürdiger Zertifikate? Und was bedeutet es, wenn die Browser sie komplett deaktivieren?
Ja, 100.000 aus einer Million sind sogar sehr viel. Die Zahlen bedeuten, dass rund eine von zehn Webseiten auf die Nutzung nicht vertrauenswürdiger digitaler Zertifikate setzt. Das ist in Anbetracht des Erfolgs von Let’s Encrypt ein sehr hoher Anteil. Let’s Encrypt ist eine kostenlose, automatisierte und offene Certificate Authority (CA, Zertifizierungsstelle), die den Erhalt, das Installieren und das Verwalten von vertrauenswürdigen digitalen Zertifikaten erheblich vereinfacht hat.
Viele Administratoren kümmern sich aber anscheinend nicht um aktuelle Security-News und -Entwicklungen. Dabei haben sie oft direkte oder indirekte Auswirkungen auf die Produkte und Dienste, die sie benötigen, um ihre Systeme und Nutzer zu schützen. Anders lassen sich die Erkenntnisse von Arkadiy Tetelman, einem Senior Application Security Engineer bei Airbnb, nicht interpretieren. Wie er herausgefunden hat, sind weltweit immer noch sehr viele der nicht mehr vertrauenswürdigen Zertifikate von Symantec im Einsatz.
Zertifikate sind die Grundlage einer sicheren Authentifizierung im Internet. Sie werden in der Regel von einer CA ausgegeben und ermöglichen es Websurfern und ihren Browsern, die Identität einer besuchten Webseite zu verifizieren. Aus diesen Gründen ist es essentiell für die Sicherheit des Internets, dass CAs vertrauenswürdig sind und den geltenden Best Practices folgen.
Zertifikate mit entzogenem Vertrauen
Bedauerlicherweise haben sich jedoch einige Unternehmen aus dem PKI-Business (Public Key Infrastructure) von Symantec nicht an die vom CA/Browser Forum formulierten Basisanforderungen an CAs gehalten. Zu den Symantec-Töchtern gehörten unter anderem die Certificate Authorities Thawte, Verisign, Equifax, GeoTrust und RapidSSL. Die zahlreichen Probleme mit ihnen haben dazu geführt, dass die PKI-Community sich auf einen Plan geeinigt hat, um das Vertrauen in die Infrastruktur von Symantec zunächst zu reduzieren und um es dann letztlich komplett zu entziehen. Nach ihrer Ansicht war es nur auf diese Weise möglich, die Sicherheit und die Privatsphäre der Internetnutzer weiter zu gewährleisten, wenn sie im World Wide Web surfen.
Symantec hat sich in der Folge entschieden, den Großteil seines PKI-Geschäfts an DigiCert im August 2017 zu verkaufen. DigiCert hält sich bislang auch an die Versprechungen, die Symantec zur Eingrenzung des Schadens gab. Trotzdem sind bei ehemaligen Symantec-Kunden immer noch viele Tausend nicht mehr vertrauenswürdiger Zertifikate im Einsatz.
Das hat unter anderem dazu geführt, dass etwa Chrome 66, der im April 2018 veröffentlicht wurde, kein Vertrauen mehr in Zertifikate setzt, die Symantec vor dem 1. Juni 2016 herausgegeben hat. Das bedeutet, dass mehr als 11.000 Webseiten einen erheblichen Rückgang ihrer Besucherzahlen erleben mussten. Wenn ein Anwender eine dieser Seiten mit Chrome besuchen will, blendet der Browser einen Hinweis auf das nicht vertrauenswürdige Zertifikat ein. Viele Surfer brechen den Besuch dann ab.
Im Oktober 2018 wird Chrome 70 erscheinen. Mit dieser Version will Google allen jemals von Symantec ausgegebenen Zertifikaten das Vertrauen entziehen. Das wird mindestens weitere rund 91.000 Seiten betreffen – außer die Admins dieser Seiten ersetzen ihre von Symantec erstellten Zertifikate mit einem neuen Zertifikat, das von einer Certificate Authority stammt, der Chrome vertraut. Auch Firefox 60, der im Mai 2018 erschienen ist, vertraut keinen Zertifikaten von Symantec mehr, die vor dem 1. Juni 2016 ausgestellt wurden. Version 63 des freien Browsers, die für Dezember 2018 geplant ist, wird dann auch kurzen Prozess mit allen anderen Zertifikaten machen, die Symantec jemals ausgestellt hat.
SSL/TLS-Zertifikate ersetzen
Symantec selbst hat in seinem offiziellen Blog Instruktionen veröffentlicht, die zeigen, wie Site-Admins ihre SSL/TLS-Zertifikate (Secure Sockets Layer, Transport Layer Security) ersetzen können. Administratoren sollten diesem Vorgang höchste Priorität einräumen. Aber nicht nur, weil es schlecht fürs Geschäft ist, sondern auch weil abgelaufene oder aus anderen Gründen nicht mehr vertrauenswürdige Zertifikate das Vertrauen der Anwender in die gesamte PKI-Infrastruktur unterminieren und so Cyberkriminellen in die Hände spielen. Wenn Anwender zu oft beim Besuch einer Webseite mit einer Warnung wegen einem nicht vertrauenswürdigen Zertifikat konfrontiert werden, gewöhnen sie sich irgendwann daran und ignorieren die Hinweise über kurz oder lang. Dann ist es nur noch eine Frage der Zeit, bis es Angreifern gelingt, sie auf ähnlich aussehende Phishing-Webseiten zu locken, die ebenfalls ein nicht vertrauenswürdiges Zertifikat nutzen, um sich als legitime Adresse auszugeben.
Jeder Admin, dem ein plötzlicher Abfall der Besucherzahlen auffällt, sollte deswegen sofort das Gültigkeitsdatum der genutzten Zertifikate überprüfen. Der Grund ist, dass abgelaufene oder aus anderen Gründen abgelehnte Zertifikate viele Nutzer daran hindern, die fragliche Seite zu besuchen. Um so einen Vorfall bereits im Vorfeld zu verhindern, sollte eine interne Liste mit Verfallsdaten aller genutzten Zertifikate geführt werden. Der Erneuerungsprozess sollte zudem 30 Tage vor dem Ablauf eines Zertifikats gestartet werden. Regelmäßig durchgeführte Audits können außerdem Zertifikate aufzeigen, die noch schwache Algorithmen wie SHA-1 oder MD5 nutzen oder die mit RSA-Keys unterzeichnet wurden, die kürzer als 2048 Bit sind. Darüber hinaus sollten Unternehmen den Prozess vorbereiten und dokumentieren, der eingehalten werden muss, um nicht mehr vertrauenswürdige Zertifikate von allen im Firmennetz genutzten Desktop-Rechnern, Notebooks und Mobilgeräten zu entfernen.
Nachdem diese Maßnahmen erledigt sind, sollte außerdem ein Migrationsplan entwickelt werden, der immer dann in Kraft tritt, wenn eine der aktuell verwendeten CAs als nicht mehr vertrauenswürdig eingestuft wurde. Im Durchschnitt haben größere Unternehmen mehr als 23.000 Zertifikate im Einsatz. Diese hohe Zahl unter Druck und manuell zu ersetzen, wird nur in den seltensten Fällen funktionieren. Und darauf zu warten, dass sich schon Microsoft, Apple, Firefox oder andere um die benötigten Schritte kümmern, ist ebenfalls keine vernünftige Option.
DigiCert bietet eine SSL-Test-Seite an, um aktiv genutzte Zertifikate darauf zu überprüfen, ob sie korrekt installiert wurden, ob sie noch gültig sind und ob sie noch von einer vertrauenswürdigen CA stammen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!