Domain-Validierung: Let's Encrypt prüft mehrfach
Der Zertifikatsanbieter Let's Encrypt verbessert seine Domain-Validierung. Jetzt prüfen mehrere Server von verschiedenen Standorten aus.
(Bild: Eviart/Shutterstock.com)
Let's Encrypt validiert jetzt mehrfach und mit verschiedenen Servern, ob ein Antragsteller die Domains kontrolliert, für die er ein Zertifikat beantragt. So soll es Angreifern erschwert werden, Validierungsanfragen umzuleiten und dadurch letztendlich Zertifikate für fremde Domains zu erhalten.
Wie viele Zertifizierungsstellen gibt Let's Encrypt ein Zertifikat aus, wenn die Antragsteller nachweisen, dass sie eine gewünschte Domain technisch unter Kontrolle haben. Praktisch passiert das zumeist, indem ein von Let's Encrypt individuell vorgegebener Wert im Dateisystem des Servers hinter der Domain oder in einem DNS-Eintrag zu der Domain hinterlegt wird. Das kann nur, wer die Domain beziehungsweise den Server kontrolliert. In dem automatisierten Verfahren prüfen Systeme von Let's Encrypt anschließend, ob der Wert wie verlangt gesetzt und die Kontrolle der Domain damit bewiesen wurde.
BGP-Attacken
Sorgen macht den Entwicklern von Let's Encrypt der Überprüfungsschritt durch ihre eigenen Server. Angreifer, die Teile des globalen Internet-Routings beeinflussen, könnten die Prüfungen des Let's-Encrypt-Servers auf eigene Systeme umleiten und von dort die korrekten Werte zurückliefern. So ließen sich Zertifikate für Domains erhalten, die gar nicht unter der Kontrolle der Angreifer stehen. Konkret geht es um das Border-Gateway-Protocol (BGP), das aus den Frühzeiten des Internets stammt und – wie viele alte Bausteine des Internets – kaum Sicherheitsmechanismen gegen böswillige Manipulationen an Bord hat. Forscher der Princeton University konnten bereits zeigen, dass solche Hijacking-Attacken auf BGP genutzt werden können, um Zertifizierungsstellen in die Irre zu führen.
Weil Versuche, BGP abzusichern, eher langsam voranschreiten, führt Let's Encrypt als einstweilige Gegenmaßnahme die Prüfung jetzt mehrfach durch und nutzt dafür verschiedene Server an verschiedenen Standorten. Angreifer könnten zwar theoretisch auch diese mehrfachen Prüfungen umleiten, aber sie müssten dafür größere Teile des globalen Routings beeinflussen. Das ist nicht nur schwieriger zu erreichen, sondern auch auffälliger. Dadurch erhört sich das Risiko für die Angreifer, dass ihre Attacke auffliegt.
Cloud-Anbieter zur Prüfung genutzt
Für die Prüfung von verschiedenen Standorten setzt Let's Encrypt auf einen Cloud-Anbieter, den die Organisation in ihrem Blog-Post zur neuen Verifikationstechnik nicht näher benennt. Es könnte sich dabei um Cloudflare handeln, die einen entsprechenden Service für Zertifizierungsstellen anbieten. Jedenfalls nutzt Let's Encrypt die Dienste ihres Cloud-Anbieters zusätzlich zur bestehenden Validierung durch eigene Server – und nicht etwa anstatt – und will in Zukunft auch noch die Dienste weiterer Cloud-Anbieter nutzen. Das würde die von den Prüfungsanfragen genutzten Netze weiter diversifizieren und auf BGP-Hijacking basierende Attacken noch mehr erschweren. (syt)
