Interne Namen bei SSL-Zertifikaten und was sich ab 2016 ändert..

Sicherlich haben Sie es auch schon in allen IT-Medien gehört: Facebook ist nun offiziell über das Tor-Netzwerk unter facebookcorewwwi.onion erreichbar. Über den Sinn und Zweck einer Anonymität in einem sozialen Netzwerk in dem derzeit sogar die Verwendung von Klarnamen Pflicht ist lässt sich sicherlich streiten. Hinzu kommt jedoch, dass Facebook sich für die .onion-Adressen ein SSL/TLS-Zertifikat von Digicert ausstellen lassen hat.

CN = *.facebook.com
O = „Facebook, Inc.“
L = Menlo Park
ST = CA
C = US
DNS Name: fb.com
DNS Name: facebook.com
DNS Name: facebookcorewwwi.onion
DNS Name: fbcdn23dssr3jqnq.onion
DNS Name: fbsbx2q4mvcl63pw.onion

Zunächst erscheint das Ausstellen eines SSL-Zertifikates für .onion-Adressen doch sehr merkwürdig, vor Allem da bei einer Bereitstellung solcher mindestens eine Domain- bzw. E-Mail-Validierung durchgeführt werden muss. Das ist ohne Weiteres in einem geschlossenen Netzwerk nicht möglich. Hierfür gibt es jedoch eine Lösung: Interne Namen. Oder sagen wir doch eher: Noch gibt es diese eine Lösung..

Was sind interne Namen?

In einem eigenen privaten Netzwerk, zum Beispiel ein Firmennetzwerk, werden interne Namen zur Erreichbarkeit von internen Geräten verwendet. Diese internen Namen sind nicht über das Internet öffentlich erreichbar. Entsprechend kann ein Unternehmen beispielsweise den Namen „server.beispiel.internal“ verwenden. Diesen Namen nennt man dann internen Namen.

Die Gefahren bei SSL-Zertifikaten

Wie so meist verläuft auch die Anwendung von internen Namen, so wie sie einst gedacht war, nicht ganz reibungslos ab. Demzufolge hat das sogenannte CA/B Forum, welches eine zentrale Kommunikationsplattform zwischen den Vergabestellen (z.B. Digicert) und den Browserentwicklern(z.B. Mozilla, Google, ..) darstellt, einige Richtlinien zur Handhabung der nachfolgenden Problemebekanntgegeben (PDF).

Das erste Problem: Neue Domainendungen (New gTLDs)

Sollte eine Vergabestelle eine Zertifikat mit einer Adresse, welch eine nicht öffentlich verwendete Top-Level-Domain verwendet, ausgestellt haben, so kann es durch die Einführung der neuen Domainendungen passieren, dass es Überschneidungen gibt. Als Beispiel könnte jemand sich ein SSL-Zertifikat für „intern.mail“ ausgestellt haben. Da nun jedoch offiziell Internetadressen mit der Domainendung „.mail“ existieren gibt es hier eine Überschneidung. Es handelt sich dann also nicht mehr um einen internen Namen, sondern um eine ganz gewöhnliche Domain.

Glücklicherweise ist die offizielle Vergabestelle für Internetadressen – die ICAAN – auf diesen Fall vorbereitet. Alle Vergabestellen müssen innerhalb von 30 Tagen vor der offiziellen Aufschaltung der neuen Domainendung überprüfen, ob Sie bereits Zertifikate mit einer solchen Domainendung ausgestellt haben. Sollte dies der Fall sein, so muss die Vergabestelle die Zertifikate innerhalb von 120 Tagen nach der Verfügbarkeit der neuen Endung alle solche Zertifikate zurückziehen, d.h. als ungültig erklären.

Der Inhaber dieses SSL-Zertifikates hat erst dann wieder die Möglichkeit das SSL-Zertifikat zu verwenden, sobald er nachgewiesen hat, dass ihm die dazugehörige Domain gehört.

Warum das Ganze? Stell dir vor jemand hat sich – als Beispiel – vor einigen Jahren ein SSL-Zertifikat für „computer.mail“ ausgestellt. Nun wird die neue Domainendung „.mail“ eingeführt und jemand Andereserwirbt die Domain „computer.mail„. Entsprechend hätte der Inhaber der SSL-Zertifikat nun ein gültiges Zertifikat für eine Domain, welche er selbst nicht besitzt. Dies würde die komplette Vertrauensbasis von SSL-Zertifikaten zerstören und großen Schaden anrichten. Der Inhaber des SSL-Zertifikates wäre in der Lage, einen sogenannten Man-In-The-Middle Angriff auszuführen.

Die (Un)Sicherheit von Facebook im Tor-Netzwerk

Facebook hat sich für die Verwendung im Tor-Netzwerk ein SSL-Zertifikat für die .onion Adressen facebookcorewwwi.onion, fbcdn23dssr3jqnq.onion und fbsbx2q4mvcl63pw.onionausstellen lassen. Da die „.onion“-Domainendung nur im Tor-Netzwerk verwendbar ist und nicht offiziell von der ICAAN aus zur öffentlichen Verwendung freigegeben wurde handelt es sich hierbei um eineninternen Namen. Das Ganze hat ein Nutzer aus dem Internet, welcher unter dem Namen „Ian Caroll“ auftritt, austesten wollen. Er ließ sich bei der Vergabestelle GlobalSign ein SSL-Zertifikat für die Adressefacebookcorewwwi.onion ausstellen und erhielt tatsächlich ein gültiges Zertifikat. Wie er jedoch kurz darauf auf seinem eigenen Blog berichtete, wurde das SSL-Zertifikat nach kurzer Zeit wieder zurückgezogen.

Aber immerhin: Er hat das SSL-Zertifikat erhalten und könnte es immernoch weiterverwenden. Nur alleine die Möglichkeit, dass SSL-Zertifikate zurückgezogen werden können, könnte ihn davon abhalten. Mit diesem Zertifikat wäre er nun in der Lage einen Angriff als Mittelsmann zwischen seinem Opfer und Facebook auszuführen, z.B. in Form eines eigenen Tor-Exit-Nodes – wäre da nicht die Überprüfung auf zurückgezogene Zertifikate in den meisten gängigen Browsern.

Aber Achtung: Nicht jeder aktuelle Browser überprüft wirklich, ob SSL-Zertifikate noch gültig sind.Dieses Problem ist vor Allem erst kürzlich bei der stark verbreiteten Lücke Heartbleed wieder aufgefallen.

Und es kommt noch schlimmer: Einige Browserentwickler, wie z.B. Google, möchten sogar dieÜberprüfung auf zurückgezogene SSL-Zertifikate komplett abschaffen.

Lösung: Ein Verbot bei SSL-Zertifikaten

Wie bereits mehrfach angedeutet hat das CA/B Forum und die ICAAN eine einfache Lösung für das Problem gefunden: Alle problematischen SSL-Zertifikate werden verboten oder zurückgezogen.

Am 01. Oktober 2016 sollen alle SSL-Zertifikate, welche auf einen internen Namen und nicht auf eine wirklich existierende Domain ausgestellt wurden, vollständig zurückgezogen werden und zukünftige SSL-Zertifikate nur noch mit entsprechend registrierter Domain ausgestellt werden. Demzufolge sollen alle Vergabestellen seit dem 01. Juli 2012 ihre Kunden auf diese kommende Veränderung hinweisen.

Dazu kommt: Alle Browser sollen deartige Zertifikate ab dem 01. Oktober 2016 nicht mehr akzeptieren.

Fazit: Weder gut noch schlecht.

Der Vorteil: Diese Maßnahme führt zu deutlich mehr Sicherheit im Umgang mit SSL-Zertifikaten, zumindest soweit man eine Gefahr bezüglich internen Namen wahrnehmen kann.

Der Nachteil: Unternehmen müssen sich für ihre interne Netzwerke zukünftig wieder auf selbst-signierte SSL-Zertifikate berufen und eine Lösung finden ihr eigenes CA-Zertifikat bei den Workstations der Mitarbeiter zu hinterlegen. Dies kann je nach Anzahl der Geräte einer größeren Firma sehr aufwändig sein und nur mit entsprechenden Verteilungssystemen eingebracht werden, was wiederrum zu einigem Mehraufwand und höheren Kosten führt.

Wir sind jedenfalls sehr gespannt wie die Sache noch weitergehen wir und wie vor Allem Konzerne, wie z.B. Facebook, sich in dieser Angelegenheit bemühen werden. Sicherlich werden Seiten wie die .onion Adresse von Facebook dennoch von Vergabestellen bereitgestellt werden, sofern die Browser diese doch nicht von sich aus verweigern sollten.

Über S. Selinger (Huskynarr) 29 Artikel
2015 gründete ich zusammen mit den aktuellen Mitautoren das Newsportal "Computerblog.info". Von Kleinauf im IT Wesen bin ich heute technischer Ansprechpartner von unzähligen Portalen und verbringe meine Freizeit damit die neusten Trends zu verfolgen und zu testen.

Hinterlasse jetzt einen Kommentar

Kommentar verfassen