Mittel gegen gefälschte Web-Zertifikate

Die sichere Version von Domain Validation (dv++)

Ein Forscherteam des Fraunhofer SIT in Darmstadt - bestehend aus Markus Brandt, Tianxiang Dai, Amit Klein, Dr. Haya Shulman und Prof. Dr. Michael Waidner - hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Die Details dieses Angriffs sowie eine mögliche Methode zur Abschwächung stellen die Forscher auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat gezeigt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben.

Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler – eine Website einrichten, die diesen Online-Shop perfekt nachahmt, und dann Zugangsdaten der Kunden der Seite abgreifen. Um die Sicherheitslücke in der Domain Validation auszunutzen, braucht man nicht mehr als ein Laptop und eine Internetverbindung.

Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt. Domain Validation++ ist ein Verfahren zum Schutz vor Identitätsdiebstahl auf Basis von verteilter Domain-Besitz-Prüfung (domain ownership verification). Dabei prüfen mehrere Server im Internet die Domainzugehörigkeit, und die Ergebnisse der Validierung werden miteinander verglichen.

Technisch besteht die Lösung aus zwei Teilen: den verteilten Agenten, die eine Domain überprüfen, und dem Orchestrator, der die Validierung koordiniert, indem er die Ergebnisse bei den Agenten abfragt und das Ergebnis verifiziert.

Sie können DV++ hier herunterladen: