TLS 1.2: Client-Zertifikate als Tracking-Falle

Kombiniert mit TLS 1.2 lassen sich Client-Zertifikate zum Tracking missbrauchen. So ließen sich etwa die Aktivitäten von Millionen iPhone-Nutzern mitverfolgen.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Achtung bei Client-Zertifikaten unter TLS 1.2

(Bild: dpa, Oliver Berg/Illustration)

Lesezeit: 3 Min.
Von
  • Monika Ermert

Die Kombination von Client-Zertifikaten mit TLS 1.2 ist toxisch, warnte ein Forscherteam der TU München im Rahmen des Treffens der Internet Engineering Task Force (IETF) diese Woche in Montreal. Weil die Zertifkate bei TLS 1.2 unverschlüsselt übertragen werden, erlaubten sie bis Anfang vergangenen Jahres beispielsweise das Tracking von Millionen von Apple-Push-Nutzern

Bei großangelegten Scans zur Umsetzung von Sicherheitsfeatures stießen Quirin Scheitle und seine Kollegen an der TU München auf das Problem mit TLS 1.2 (PDF). Anders als beim Nachfolger TLS 1.3 werden die zur Authentifizierung genutzten Zertifikate in TLS 1.2 beim Verbindungsaufbau offen ausgetauscht.

Die Forscher konnten durch eine passive Traffic-Analyse nachvollziehen, wann und worüber ein Gerät sich ein Gerät mit dem Netz verbunden hat.

(Bild: Push Away Your Privacy: Precise User Tracking Based on TLS Client Certificate Authentication (PDF) )

Vor allem beim Einsatz von Client-Zertifikaten (Client Certificate Authentication, CCA) ist das ein Problem. Im Client-Zertifikat steckt ein dem Gerät, beziehungsweise dessen Nutzer zugeordneter individueller Schlüssel, Daten, wann dieser erstellt wurde und möglicherweise weitere Informationen. Bei jedem Verbindungsaufbau hinterlässt der Nutzer so einen leicht zu identifizierenden Fußabdruck.

Opfer des Datenlecks waren zum Beispiel Millionen von Apple-Push-Nutzern, wie Scheitle und seine Kollegen feststellten. Gegenüber den Push-Servern authentifizieren sich der jeweilige App-Server und der Nutzer, letzterer jeweils mit dem unverschlüsselten Client-Zertifikat. Angesichts der Verbreitung der Apple-Push-Dienste mussten die Forscher von Millionen Betroffenen ausgehen, darunter auch iTunes-Nutzer.

Apple hat das Problem Hinweisen der Münchner Forscher Anfang letzten Jahres behoben. Was der Hersteller genau gemacht habe, weiß man in München nicht. "Aber wir sehen die Klartext Zertifikate in unseren Scans nicht mehr" sagte Scheitle in Montreal. Bei anderen Push-Diensten, etwa von Google, wurden die Münchner nicht fündig.

Allerdings kommt CCA auch anderweitig zum Einsatz, zum Beispiel bei VPN, beim Mobile Device Management mit MobileIron oder beim IoT-Protokoll MQTT. Weil TLS 1.2 nach wie vor weit verbreitet ist, muss man auf jeden Fall noch von betroffenen Nutzern ausgehen, sagte Scheitle gegenüber heise Security. Er empfiehlt: "Die Kombination von TLS 1.2 und Client Zertifikaten sollte man auf jeden Fall vermeiden. Am besten ist natürlich der Umstieg auf TLS 1.3."

Auch TLS 1.3 biete noch Angriffspunkte, sagte Scheitle mit Blick auf die Server Name Indication. Möglichkeiten, diese ebenfalls zu verschlüsseln, standen diese Woche auf der Tagesordnung der IETF in Montreal. Chris Wood von Apple stellte das Konzept für die Encrypted Server Name Indication (ESNI) vor. Diskutiert wird unter anderem noch, ob als Trust Anchor ein TXT Record etwa unter _esni.example.com dienen soll oder ob die in-Addr.arpa Registry als Anchor dienen soll. Dass die unverschlüsselten SNIs verschwinden sollen, dazu gab es in Montreal überraschenderweise keinen Widerspruch.

Die Münchner Forscher haben zuletzt die Verbreitung der vielen neuen Absicherungsmassnahmen für HTTPS (PDF) untersucht. Das gegen Downgrade-Attacken schützende HSTS etwa kommt laut den Scans bei rund 8 Millionen Domains zum Einsatz. Allerdings fanden die Forscher immer wieder falsche Einträge für die Gültigkeitsdauer. Die müssen Nutzer von Hand eingeben und dann stehen auch schon mal 30 Trilliarden Jahre im entsprechenden Eintrag. Laut Scheitle liegt darin noch ein Problem in der Standardisierung. Die Sicherheitsfeatures müssten viel nutzerfreundlicher sein: "Es wird noch zu viel Komplexität an den Nutzer durchgereicht." (rei)