Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Let's Encrypt von Malvertising betroffen

Die kostenlosen Zertifikate sind missbraucht worden, um Schadsoftware zu streuen. Bisher ist nur ein Vorfall bekannt – der aber zeigt eine grundsätzliche Schwäche der Gratis-Zertifikate.


Ein SSL-Zertifikat soll Vertrauen erwecken. Das haben Kriminelle jetzt ausgenutzt, um über eine vermeintlich sichere Seite Werbung mit schädlichem Code zu verteilen. Die Täter haben sich dafür offenbar eine Subdomain für eine legitime Domain eingerichtet und erfolgreich ein Let's-Encrypt-Zertifikat beantragt. Bekannt wurde der Fall Anfang Januar durch einen Blog-Beitrag von Trend Micro. Den Namen der Domain wollte der Sicherheitsspezialist zunächst nicht bekannt geben. HTTPS soll das Internet sicherer machen. Seit dem vergangenen Jahr arbeiten mehrere führende IT-Konzerne wie Google, Microsoft oder Mozilla daran, die Verschlüsselung weltweit im Netz zu etablieren. Seit Ende 2015 bietet Let’s Encrypt mit seinen kostenlosen Zertifikate eine Lösung an, die das Projekt weiter vorantreiben soll. Die Zertifizierungsstelle setzt auf domainvalidierte Zertifikate, die über vollautomatisierte Prozesse erstellt validiert, signiert, eingerichtet und erneuert werden.

Sicherheit in fremden Händen

Zur Validierung eines Zertifikats verschickt Let’s Encrypt eine E-Mail. Das kann allein durch die Anfälligkeit elektronischer Post schon problematisch werden. Vor allem aber führt Let’s Encrypt keine weiterführende Prüfung der Seiten-Inhalte durch und schließt damit die Möglichkeit aus, mögliches Fehlverhalten schon im Ansatz zu unterbinden. Stattdessen nutzt die Zertifikatstelle die Google Safe Browsing API, um festzustellen, ob eine Webseite als bedrohlich gilt – und legt damit einen wichtigen Sicherheits-Aspekt in fremde Hände. Um Missbrauch entgegenzuwirken, arbeitet Let's Encrypt mit verhältnismäßig kurzen Laufzeiten. Alle 60 Tage muss ein Zertifikat erneuert werden. Dafür bietet Let’s Encrypt einen Client an, der die neue Beantragung und Prüfung automatisiert. Dieses Tool verlangt aber Root-Rechte auf dem Server und installiert über eine zentrale Steuerung eigenständig Updates. Sollte ein Angriff auf diese zentrale Steuerung gelingen, sind mit einem Schlag tausende Server auf der ganzen Welt gehackt und über die Root-Rechte könnte Malware tief ins System gegraben werden. Dazu kommt, dass jedes Zertifikat einzeln aktualisiert werden muss und der Client den Server nach jeder Installation neu startet. Je nach Umfang der Webseite kann das zu ständigen Reboots des Systems führen.

Nutzen bleibt überschaubar

Auch wenn der Gedanke hinter Let’s Encrypt – kostenlose, flächendeckende SSL-Verschlüsselung – richtig scheint, bleibt der Nutzen in Vertrauen und Sicherheit für Nutzer und Admins überschaubar. Die Nutzer besuchen zwar eine verschlüsselte Website, ein besonders hohes Maß an Sicherheit erfüllt die Seite aber nicht. Admins können zwar eine verschlüsselte Seite vorweisen, die Server-Systeme sind aber empfindlichen Sicherheitsrisiken ausgesetzt. Die höchste Sicherheit bieten nach wie vor Zertifikate mit einer Extended Validation (EV). Die Zertifizierungsstelle geht hier nach besonders sorgfältigen Prüfungskriterien vor. Oft bieten die Stellen außerdem noch zusätzliche Services wie Malwarescans an. Etwas weniger aufwändig die Prüfung die Unternehmensvalidierung. Dennoch bietet auch diese Variante im Vergleich zu kostenlosen Modellen ein höheres Maß an Sicherheit.

Infografiken: Validierungsprozesse von EV- und OV-Zertifikaten

Beide Grafiken können auch als hochauflösende PDF-Dateien heruntergeladen werden:Zertifikate mit Extended Validation (EV)Zertifikate mit Unternehmensvalidierung (OV)

Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.
Infrastructure as a Service ist die perfekte Cloud-Lösung für Unternehmen, die expandieren möchten, ohne die Vorteile einer On-Site- Infrastruktur zu…
Hans Seeuws von EURid im Podcast
Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
It's all about domains... mit Mirjam Kühne von RIPE
Die technische Community trifft sich bei RIPE, um das Internet und seine einzigartigen Eigenschaften aufrechtzuerhalten und weiterzuentwickeln. Mirjam…
Heutzutage ist es schwierig einen guten Domainnamen zu finden, der nicht nur einprägsam ist, sondern auch zum Produkt oder zur Dienstleistung passt.…