TLS 1.2: Client-Zertifikate als Tracking-Falle
Kombiniert mit TLS 1.2 lassen sich Client-Zertifikate zum Tracking missbrauchen. So ließen sich etwa die Aktivitäten von Millionen iPhone-Nutzern mitverfolgen.
- Monika Ermert
Die Kombination von Client-Zertifikaten mit TLS 1.2 ist toxisch, warnte ein Forscherteam der TU München im Rahmen des Treffens der Internet Engineering Task Force (IETF) diese Woche in Montreal. Weil die Zertifkate bei TLS 1.2 unverschlüsselt übertragen werden, erlaubten sie bis Anfang vergangenen Jahres beispielsweise das Tracking von Millionen von Apple-Push-Nutzern
Bei großangelegten Scans zur Umsetzung von Sicherheitsfeatures stießen Quirin Scheitle und seine Kollegen an der TU München auf das Problem mit TLS 1.2 (PDF). Anders als beim Nachfolger TLS 1.3 werden die zur Authentifizierung genutzten Zertifikate in TLS 1.2 beim Verbindungsaufbau offen ausgetauscht.
Vor allem beim Einsatz von Client-Zertifikaten (Client Certificate Authentication, CCA) ist das ein Problem. Im Client-Zertifikat steckt ein dem Gerät, beziehungsweise dessen Nutzer zugeordneter individueller Schlüssel, Daten, wann dieser erstellt wurde und möglicherweise weitere Informationen. Bei jedem Verbindungsaufbau hinterlässt der Nutzer so einen leicht zu identifizierenden Fußabdruck.
Millionen Apple-Nutzer betroffen
Opfer des Datenlecks waren zum Beispiel Millionen von Apple-Push-Nutzern, wie Scheitle und seine Kollegen feststellten. Gegenüber den Push-Servern authentifizieren sich der jeweilige App-Server und der Nutzer, letzterer jeweils mit dem unverschlüsselten Client-Zertifikat. Angesichts der Verbreitung der Apple-Push-Dienste mussten die Forscher von Millionen Betroffenen ausgehen, darunter auch iTunes-Nutzer.
Apple hat das Problem Hinweisen der Münchner Forscher Anfang letzten Jahres behoben. Was der Hersteller genau gemacht habe, weiß man in München nicht. "Aber wir sehen die Klartext Zertifikate in unseren Scans nicht mehr" sagte Scheitle in Montreal. Bei anderen Push-Diensten, etwa von Google, wurden die Münchner nicht fündig.
Allerdings kommt CCA auch anderweitig zum Einsatz, zum Beispiel bei VPN, beim Mobile Device Management mit MobileIron oder beim IoT-Protokoll MQTT. Weil TLS 1.2 nach wie vor weit verbreitet ist, muss man auf jeden Fall noch von betroffenen Nutzern ausgehen, sagte Scheitle gegenüber heise Security. Er empfiehlt: "Die Kombination von TLS 1.2 und Client Zertifikaten sollte man auf jeden Fall vermeiden. Am besten ist natürlich der Umstieg auf TLS 1.3."
Server Name Verschlüsselung (fast) unumstritten
Auch TLS 1.3 biete noch Angriffspunkte, sagte Scheitle mit Blick auf die Server Name Indication. Möglichkeiten, diese ebenfalls zu verschlüsseln, standen diese Woche auf der Tagesordnung der IETF in Montreal. Chris Wood von Apple stellte das Konzept für die Encrypted Server Name Indication (ESNI) vor. Diskutiert wird unter anderem noch, ob als Trust Anchor ein TXT Record etwa unter _esni.example.com dienen soll oder ob die in-Addr.arpa Registry als Anchor dienen soll. Dass die unverschlüsselten SNIs verschwinden sollen, dazu gab es in Montreal überraschenderweise keinen Widerspruch.
Die Münchner Forscher haben zuletzt die Verbreitung der vielen neuen Absicherungsmassnahmen für HTTPS (PDF) untersucht. Das gegen Downgrade-Attacken schützende HSTS etwa kommt laut den Scans bei rund 8 Millionen Domains zum Einsatz. Allerdings fanden die Forscher immer wieder falsche Einträge für die Gültigkeitsdauer. Die müssen Nutzer von Hand eingeben und dann stehen auch schon mal 30 Trilliarden Jahre im entsprechenden Eintrag. Laut Scheitle liegt darin noch ein Problem in der Standardisierung. Die Sicherheitsfeatures müssten viel nutzerfreundlicher sein: "Es wird noch zu viel Komplexität an den Nutzer durchgereicht." (rei)