Erster bekannter Missbrauch eines Let’s Encrypt Zertifikats

Dennis Schirrmacher berichtet in seinem heise-Artikel „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“ über die missbräuchliche Verwendung eines Let’s Encrypt Zertifikats.

Laut dem Artikel ist es Online-Gaunern gelungen, eine Subdomain für eine legitime Domain einzurichten und für diese ein Let’s Encrypt Zertifikat zu beantragen. Mit Hilfe der legitimen Domain und des vertrauenswürdigen Zertifikats wird Besuchern der Webseite Schadcode untergeschoben. Im konkreten Fall wird ein Online-Banking-Trojaner auf den Computern der Opfer installiert.

Die missbräuchliche Nutzung ist kein spezielles Problem von Let’s Encrypt. Es handelt sich vielmehr um ein generelles Designproblem der öffentlichen TLS/SSL-Infrastruktur, welches ich bereits in der Einleitung von „Certificate Pinning mit NGINX“ beschrieben habe.

Let’s Encrypt versucht den Missbrauch durch den Einsatz kurzlebiger Zertifikate einzuschränken. Dieser Versuch läuft meiner Ansicht nach jedoch weitgehend ins Leere. Denn auch Online-Gauner können die Erneuerung der ergaunerten Zertifikate mit dem Let’s Encrypt Client automatisieren.

Einen deutlich effektiveren Schutz gegen die genannte Art von Missbrauch bieten Verfahren wie „Public Key Pinning Extension for HTTP“1 2 und „HTTP Strict Transport Security (HSTS)“3 4. Speziell mit Hilfe des Certificate Pinning kann ein Browser erkennen, ob ein TLS/SSL-Zertifikat zur besuchten Domain gehört oder nicht. Nähere Informationen dazu und wie das Certificate Pinning für den Webserver NGINX konfiguriert werden kann, finden sich im Artikel „Certificate Pinning mit NGINX“. Viel Spaß beim Lesen.

Dieser Beitrag wurde am von in Allgemein veröffentlicht. Schlagworte: , , , , .
Jörg Kastning

Über Jörg Kastning

Als gelernter Fachinformatiker FR. Systemintegration habe berufsbegleitend meinen B.Sc. im Studiengang Angewandte Informatik erworben. Themen rund um Informatik, die IT und Open Source sind für mich Hobby und Beruf. Hier blogge ich mich quer durch die IT-Welt. Das Blog dient mir als Gedächtnisprotokoll und zur Dokumentation von IT-Themen, mit denen ich mich privat oder beruflich beschäftige. Darüber hinaus findet ihr auf dieser Webseite eine Sammlung der von mir verfassten Artikel und Vorträge.

2 Gedanken zu „Erster bekannter Missbrauch eines Let’s Encrypt Zertifikats

  1. Martin

    Zertifikate und alles was das Web betrifft bin ich nicht sehr gut informiert,
    aber ich verstehe die Panik jetzt nicht so ganz.

    Das Grund Ziel von „Let’s Encrypt“ ist doch ein verschlüsselter Traffic,
    damit nicht jeder mit lesen kann.

    Ein gültiges Zertifikat weißt nicht drauf hin, ob eine Seite gut oder Böse ist.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *