Start Empfohlen Mozilla erweckt Todesurteil gegen unsichere CAs

Mozilla erweckt Todesurteil gegen unsichere CAs

23
0


Die Sicherheitsanforderungen für Zertifizierungsstellen waren bisher gut, es gab keine. Mozilla versucht jetzt, einiges durchzusetzen und gibt CAs kostbare Zeit, um dem Standard gerecht zu werden. Könnte die „Todesstrafe“ von Mozilla verhängt werden?

Moaillas Brief an die Zertifizierungsstellen verlangt einige wichtige Informationen bis zum 16. September 2011, Ende nächster Woche. Es zeigt zwar nichts über Verstöße, aber wir wissen es von das SSL-Observatorium-Projekt der EFF dass viele Zertifizierungsstellen bei Sicherheitsproblemen nicht auf Details achten.

Wenn eine Zertifizierungsstelle nicht rechtzeitig reagiert oder den Forderungen von Mozilla nicht nachkommt, könnte sie dann das Mozilla-Todesurteil erhalten – Entfernung aus der Sammlung vertrauenswürdiger Wurzeln? Ein solches Schicksal würde bedeuten, dass Mozilla-Benutzer, die eine HTTPS-Site mit dem Zertifikat dieser CA besuchen, eine große, hässliche Warnung erhalten, dass die Site nicht von einer vertrauenswürdigen Instanz geschützt ist. Mozilla macht diese Drohung nicht explizit, sagt aber: „Die Teilnahme am Root-Programm von Mozilla liegt in unserem alleinigen Ermessen, und wir werden alle notwendigen Schritte unternehmen, um unsere Benutzer zu schützen“.

Einige der Forderungen von Mozilla könnten in einer Woche schwierig umzusetzen sein. Was mir wirklich auffällt, ist: „Bestätigen Sie, dass für alle Konten, die direkt die Ausstellung von Zertifikaten verursachen können, eine Multi-Faktor-Authentifizierung erforderlich ist“. Dazu habe ich eine Geschichte.

Wie ich in meinem letzten Artikel über den DigiNotar-Hack erwähnt habe, nennt sich der Hacker COMODOHACKER und scheint derselbe Typ zu sein, der im Juni eine Tochtergesellschaft von Comodo gehackt. Die Details dieses Hacks machten deutlich, dass die Tochtergesellschaft nur über eine Ein-Faktor-Authentifizierung verfügte, einen Benutzernamen und ein Passwort, um Zugang zu einem Konto mit Berechtigungen zur Zertifikatsausstellung zu erhalten.

Ich traf mich zufällig mit einem leitenden Comodo-Manager und schlug vor, dass die Zwei-Faktor-Authentifizierung für so leistungsstarke Konten vielleicht eine gute Idee wäre, aber der Exec wies die Idee zurück. Das Problem liege an anderer Stelle, sagte er, in der Unsicherheit des DNS (ein Problem, für das seine Firma gerade an einer großartigen Lösung arbeitete!). Wie auch immer, ich bin mir sicher, dass Comodo-Tochtergesellschaften nicht die einzigen sind, die diese Standards nicht erfüllen.

Einige der anderen Forderungen von Mozilla sind nicht so schwer oder sollten es zumindest nicht sein. Auf eine vollständige Liste der untergeordneten Zertifizierungsstellen hoffen Sie beispielsweise, dass sie leicht zugänglich sind. Wenn nicht, könnten sie die Daten von stehlen die Observatoriumskarte aller CAs im IPv4-Internet.

Dieses Beispiel für Betrug beim Audit wirft die Tatsache auf, dass Mozillas Audit eine Selbstanzeige ist, ähnlich wie PCI-Compliance-Audits. Mozillas einziges Wissen darüber, ob eine CA die Zwei-Faktor-Authentifizierung verwendet, kann von der CA stammen. Wenn die CA darüber lügt, gibt es möglicherweise keine Möglichkeit, dies herauszufinden.

Eine weitere potenziell schwierige Frage ist „Bestätigen Sie, dass Sie für hochkarätige Domainnamen (einschließlich derer, die in diesem Jahr von den DigiNotar- und Comodo-Angriffen betroffen sind) automatische Sperren eingerichtet haben. Bitte bestätigen Sie weiter Ihren Prozess zur manuellen Überprüfung solcher Anfragen, wenn sie blockiert sind“. Sie würden denken, dass jede Zertifizierungsstelle intelligent genug wäre, um dies zu tun, aber Sie würden auch denken, dass sie die Zwei-Faktor-Authentifizierung verwenden würde.

Ich weiß, dass viele große CAs (Symantec zum Beispiel, für die ich bezahlte Beratungsarbeit geleistet habe) prahlen seit langem mit ihren anstrengenden Sicherheitsmaßnahmen zum Schutz des Zertifikatsausstellungsprozesses. Es ist vernünftig zu glauben, dass sie sich dies besser leisten können als die el-billigen Anbieter von domänenvalidierten SSL-Zertifikaten für 11,95 USD/Jahr, obwohl sie alle in den Wurzeln von Mozilla und anderen Browsern liegen. Vielleicht konzentrieren sich hier die Probleme.

Ich muss davon ausgehen, dass eine große Anzahl von CAs diesen Test entweder nicht bestehen oder darauf lügen werden. Wenn Sie lügen und erwischt werden, ist es vernünftig zu glauben, dass Sie das Todesurteil bekommen, aber wenn Sie es einfach nicht schaffen? Ich vermute, dass Mozilla die Ergebnisse sehen und mit CAs zusammenarbeiten wird, um schnell eine Form zu erstellen oder aus der Root-Datenbank zu versenden.

Bildnachweis: Kheng Guan Toh/Shutterstock

Larry Seltzer ist freiberuflicher Autor und Berater und beschäftigt sich hauptsächlich mit Sicherheitsfragen. Er hat kürzlich für Infoworld, eWEEK, Dr. Dobb’s Journal geschrieben und ist Mitherausgeber beim PC Magazine und Autor des Security Watch-Blogs. Er hat auch für Symantec Authentication (ehemals VeriSign) und die Intelligent Whitelisting-Site von Lumension geschrieben.



Vorheriger ArtikelWindows schützt Apps und Benutzer besser vor betrügerischen DigiNotar-Zertifikaten
Nächster ArtikelMozilla stellt Internet-Zertifizierungsstellen ein Ultimatum

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein