DNS-Blacklist für schwache SSL-Schlüssel

In Zusammenarbeit mit manitu stellt Heise ab sofort einen Echtzeit-Blacklist-Dienst auf DNS-Basis bereit, der schwache SSL-Schlüssel identifiziert. Der Provider betreibt bereits die Realtime-Blacklist für den iX-Spamfilter NiX Spam, über die Mail-Server Spam erkennen und filtern können.

Das Prinzip einer DNS-Realtime-Blacklist ist ebenso einfach wie elegant: Ein Programm stellt eine DNS-Anfrage für .weakSSLkeys.dnsbl.manitu.net, die beim Name Server landet, der für die Domain weakSSLkeys.dnsbl.manitu.net zuständig ist. Der sieht dann in seinen Listen nach, ob die als Hostname übergebene Zeichenkette dort auftaucht. Ist das der Fall, liefert der DNS-Server die IP-Adresse 127.0.0.2 zurück; findet er die Zeichenkette nicht, lautet die Antwort 127.0.0.3. Normalerweise liefern DNS-Blacklists die Fehlermeldung NXDOMAIN für einen negativen Befund. Das ist in diesem speziellen Fall nicht sinnvoll, da Zertifikatstests unter Umständen den genauen Fehlercode des DNS-Lookups nicht ermitteln können.

Als Hostname kommt der SHA1-Hash des Modulus aus dem RSA-Schlüssel des Zertifikats zum Einsatz. Vergleichbare Fingerabdruckverfahren nutzen alle Tests auf schwache SSL-Zertifikate, einschließlich des Debian-Tools openssl-vulnkey und des SSL-Tests von Heise Netze. Die Listen erfassen Schlüssel mit 512, 1024, 2048 und 4096 Bit sowohl für 32- als auch für 64-Bit-Systeme und Little beziehungsweise Big-Endian-Architekturen.

Den SSL-Blacklist-Dienst können alle Tools für den Test von SSL-Zertifikaten verwenden, die sich Download und Verwaltung der mittlerweile rund 1,2 Millionen Einträge umfassenden Listen schwacher Schlüssel sparen wollen. Die Nutzung ist selbstverständlich kostenlos. Da an den DNS-Server nur der Hash-Wert des Schlüssels übertragen wird, ergeben sich auch keine Probleme mit vertraulichen Daten. Der angesprochene Server oder die gerade verwendete URL lassen sich daraus nicht ableiten. (ju)