Letzte Woche kündigte Let’s Encrypt, die eine von Chrome und Mozilla unterstützte automatisierte Zertifizierungsstelle ist, eine Maßnahme an, die einen weiteren Schutz vor Angreifern einführt. Diese heißt Multi-Perspektive-Domain-Validierung und hilft der Zertifizierungsstelle (CA) zu bescheinigen, dass ein Antragsteller tatsächlich die Domain kontrolliert, für die er ein Zertifikat erhalten möchte.
Die Domänenvalidierung ist nicht neu. Jedoch bedeutet ein potenzielles Problem in diesem Prozess, dass ein Netzwerkangreifer eine CA austricksen kann, um ein Zertifikat falsch auszustellen. Bei der Multi-Perspektive-Domain-Validierung müssen Angreifer gleichzeitig drei verschiedene Netzwerkpfade erfolgreich kompromittieren; dies wird nicht nur schwieriger zu erreichen sein. Vielmehr wird auch die Internet-Topologie-Gemeinschaft eine höhere Chance haben, den Angriff zu bemerken.
Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi kommentiert den Vorgang wie folgt: „Es ist großartig zu sehen, dass Let’s Encrypt das Validierungsniveau erhöht, um den Besitz und die Kontrolle über eine Domäne besser zu demonstrieren. Wir wissen jedoch, dass Zehntausende von Let’s Encrypt-Zertifikaten täglich von Cyber-Angreifern verwendet werden, um ihre Phishing-Angriffe glaubwürdiger zu machen.
Viele Unternehmen könnten nun davon ausgehen, dass es nicht ihr Problem ist, wenn sie keine Let’s Encrypt-Zertifikate verwenden, aber das ist nicht der Fall. Angreifer können immer noch ein Let’s Encrypt-Zertifikat erhalten, das in Sekundenschnelle wie jede beliebige Domäne aussieht. Die einzige Möglichkeit, sich zu schützen, ist die vollständige Transparenz über alle TLS-Zertifikate im gesamten Internet.
Die Verwendung von Maschinenidentitäten wie TLS-Zertifikaten zur Ermöglichung von vertrauenswürdigen und effektiven Phishing-Angriffen gehört zum alltäglichen Angriffsinstrumentarium von Hackern aller Art. Wir haben Zehntausende von Let’s Encrypt-Zertifikaten gesehen, die von Cyberkriminellen für Phishing verwendet werden. Dies ist jetzt ein Problem für jedes Unternehmen, unabhängig davon, ob es Let’s Encrypt verwendet oder nicht, sie sind bereits ein Ziel gewesen.“
Nun widerruft die gleiche CA innerhalb von nur einer Woche 3 Mio. TLS-Zertifikate und IT-Administratoren rund um den Globus laufen dagegen Sturm. Für Kevin Bocek kommt dies alles nicht wirklich überraschend: „Leider widerruft Let’s Encrypt aufgrund eines Fehlers in den nächsten 24 Stunden über 3 Millionen TLS-Zertifikate. Diese Zertifikate dienen als Maschinenidentitäten, die die Kommunikation von sensiblen Daten zwischen den Maschinen authentifizieren und autorisieren. Infolgedessen könnten morgen Millionen von Rechnern nicht verfügbar sein oder als nicht vertrauenswürdig eingestuft werden, was den Unternehmen, die sich auf sie verlassen, Schaden könnte. Dies ist ein hervorragendes Beispiel dafür, warum Sicherheitsteams die Flexibilität bieten müssen, jede einzelne CA, jedes Zertifikat oder jede Gruppe von Zertifikaten schnell und automatisch zu ersetzen. Leider verfügt die überwiegende Mehrheit der Organisationen nicht über die nötige Transparenz oder Automatisierung, um dies schnell und schmerzfrei zu tun.“