{"id":1354,"date":"2016-01-09T16:03:57","date_gmt":"2016-01-09T15:03:57","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1354"},"modified":"2016-01-09T16:03:57","modified_gmt":"2016-01-09T15:03:57","slug":"erster-bekannter-missbrauch-eines-lets-encrypt-zertifikats","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/erster-bekannter-missbrauch-eines-lets-encrypt-zertifikats\/","title":{"rendered":"Erster bekannter Missbrauch eines Let&#8217;s Encrypt Zertifikats"},"content":{"rendered":"<p>Dennis Schirrmacher berichtet in seinem heise-Artikel <a href=\"http:\/\/heise.de\/-3065115\" target=\"_blank\">&#8222;Erste Malvertising-Kampagne mit Let&#8217;s-Encrypt-Zertifikat&#8220;<\/a> \u00fcber die missbr\u00e4uchliche Verwendung eines Let&#8217;s Encrypt Zertifikats.<\/p>\n<p>Laut dem Artikel ist es Online-Gaunern gelungen, eine Subdomain f\u00fcr eine legitime Domain einzurichten und f\u00fcr diese ein Let&#8217;s Encrypt Zertifikat zu beantragen. Mit Hilfe der legitimen Domain und des vertrauensw\u00fcrdigen Zertifikats wird Besuchern der Webseite Schadcode untergeschoben. Im konkreten Fall wird ein Online-Banking-Trojaner auf den Computern der Opfer installiert.<\/p>\n<p>Die missbr\u00e4uchliche Nutzung ist kein spezielles Problem von Let&#8217;s Encrypt. Es handelt sich vielmehr um ein generelles Designproblem der \u00f6ffentlichen TLS\/SSL-Infrastruktur, welches ich bereits in der Einleitung von <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/certificate-pinning-mit-nginx\/\" target=\"_blank\">&#8222;Certificate Pinning mit NGINX&#8220;<\/a> beschrieben habe.<\/p>\n<p>Let&#8217;s Encrypt versucht den Missbrauch durch den Einsatz kurzlebiger Zertifikate einzuschr\u00e4nken. Dieser Versuch l\u00e4uft meiner Ansicht nach jedoch weitgehend ins Leere. Denn auch Online-Gauner k\u00f6nnen die Erneuerung der ergaunerten Zertifikate mit dem Let&#8217;s Encrypt Client automatisieren.<\/p>\n<p>Einen deutlich effektiveren Schutz gegen die genannte Art von Missbrauch bieten Verfahren wie &#8222;Public Key Pinning Extension for HTTP&#8220;[1. <a href=\"https:\/\/tools.ietf.org\/html\/rfc7469\" target=\"_blank\">RFC 7469 &#8211; Public Key Pinning Extension for HTTP<\/a>] [2. <a href=\"https:\/\/de.wikipedia.org\/wiki\/HPKP\" target=\"_blank\">HTTP Public Key Pinning &#8211; Wikipedia (de)<\/a>] und &#8222;HTTP Strict Transport Security (HSTS)&#8220;[3. <a href=\"https:\/\/tools.ietf.org\/html\/rfc6797\" target=\"_blank\">RFC 6796 &#8211; HTTP Strict Transport Security (HSTS)<\/a>] [4. <a href=\"https:\/\/de.wikipedia.org\/wiki\/HSTS\" target=\"_blank\">HTTP Strict Transport Security &#8211; Wikipedia (de)<\/a>]. Speziell mit Hilfe des Certificate Pinning kann ein Browser erkennen, ob ein TLS\/SSL-Zertifikat zur besuchten Domain geh\u00f6rt oder nicht. N\u00e4here Informationen dazu und wie das Certificate Pinning f\u00fcr den Webserver NGINX konfiguriert werden kann, finden sich im Artikel <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/certificate-pinning-mit-nginx\/\" target=\"_blank\">&#8222;Certificate Pinning mit NGINX&#8220;<\/a>. Viel Spa\u00df beim Lesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dennis Schirrmacher berichtet in seinem heise-Artikel &#8222;Erste Malvertising-Kampagne mit Let&#8217;s-Encrypt-Zertifikat&#8220; \u00fcber die missbr\u00e4uchliche Verwendung eines Let&#8217;s Encrypt Zertifikats. Laut dem Artikel ist es Online-Gaunern gelungen, eine Subdomain f\u00fcr eine legitime Domain einzurichten und f\u00fcr diese ein Let&#8217;s Encrypt Zertifikat zu beantragen. Mit Hilfe der legitimen Domain und des vertrauensw\u00fcrdigen Zertifikats wird Besuchern der Webseite Schadcode<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/erster-bekannter-missbrauch-eines-lets-encrypt-zertifikats\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[1],"tags":[380,381,379,305,378],"class_list":["post-1354","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-certificate-pinning","tag-hpkp","tag-lets-encrypt","tag-planet","tag-rfc7469"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1354"}],"version-history":[{"count":1,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1354\/revisions"}],"predecessor-version":[{"id":1355,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1354\/revisions\/1355"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}