SSL-Zertifikate sind eines der wichtigsten Elemente, um die Sicherheit im Internet zu gewährleisten.
Trotz der enormen Sicherheitsmaßnahmen, die sie bieten, darf man nicht vergessen, dass der menschliche Einfallsreichtum keine Grenzen kennt und dass Kriminelle so gut organisiert und entschlossen sind, jede Schwachstelle auszunutzen – leider wurden in der Vergangenheit tatsächlich solche Lücken in SSL-Zertifikaten entdeckt. Glücklicherweise bietet das System ein hohes Maß an Sicherheit, und die Fälschung von Zertifikaten ist äußerst selten und erfordert einen enormen Aufwand. Sie ist außerdem leicht zu erkennen, was es Zertifikatsanbietern und Browserherstellern ermöglicht, schnell zu reagieren und die Internetnutzer zu schützen.
Wie läuft die Fälschung eines SSL-Zertifikats ab?
Man sollte sich vor Augen halten, dass SSL-Zertifikate den sichersten Schutz für die Nutzer von Websites darstellen. Ihre Registrierung und Vergabe wird sehr sorgfältig überwacht, und jede Stelle, die sich um ein SSL-Zertifikat bemüht, wird überprüft. Aufgrund dieser weitreichenden Kontrolle bleiben Personen und Organisationen, die an gefälschten Zertifikaten interessiert sind, im Wesentlichen zwei Möglichkeiten:
- Einbruch in eine CA (Certification Authority), also in den Zertifikatsanbieter, wodurch der Diebstahl von Schlüsseln möglich wird,
- Einbruch in das Konto eines RA-Benutzers (Registration Authority), sodass ein Zertifikat manuell ausgestellt werden kann.
Ein Angriff kann durch das Erlangen zumindest teilweisen Zugangs zum DNS oder durch einen Insider-Angriff erfolgen. Deshalb nutzen Hacker häufig Netzwerk-Gateways oder Computer, die sich im Zielnetz befinden. Oft ist dazu eine gezielte Infektion des Ethernets notwendig. Eine weitere Methode, um an ein gefälschtes SSL-Zertifikat zu gelangen, ist ein unehrlicher Anbieter – diese Betrugsmethode wurde einst vom französischen Geheimdienst angewendet.
Auf welche Websites zielen Betrüger ab?
Interessanterweise zielen Betrüger neben Bankseiten und anderen Diensten, die Online-Zahlungen abwickeln, auch auf Websites, die Informationen sammeln. So gelang es beispielsweise im Jahr 2011, Zertifikate für login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org zu fälschen. Es ist zudem erwähnenswert, dass neben einzelnen Hackern und unabhängigen Gruppen auch Geheimdienste verschiedener Länder — darunter der Iran, Russland und Frankreich — beim Fälschen von Zertifikaten ertappt wurden.
Wie kann man sich vor gefälschten Zertifikaten schützen?
Häufig werden wir bereits durch die Browserhersteller selbst vor gefälschten Zertifikaten geschützt. Die gängigsten Internetbrowser verfügen über Sperrlisten für Zertifikate, die direkt nach Bekanntwerden eines möglichen Angriffs aktualisiert werden. Google selbst, das sehr oft zum Opfer von Zertifikatsfälschungen wurde, hat in seinem Browser eine zusätzliche Sicherheitsmaßnahme namens Public Key Pinning eingeführt. Der Browser speichert Informationen über die Google-Schlüssel, wodurch er erkennen kann, ob die SSL-Zertifikate der Seiten wirklich echt sind. Leider sind nur die Dienste des kalifornischen Internet-Giganten durch diesen Schutzmechanismus abgedeckt.
Eine weitere interessante Lösung ist die sogenannte Mutually Endorsing CA Infrastructure — bei der Überprüfung wird das Zertifikat von drei zufällig ausgewählten Zertifizierungsstellen bestätigt, welche grundsätzlich SSL-Zertifikate ausstellen können. Bestätigt eine dieser Stellen die Gültigkeit nicht, erhält der Nutzer einen Hinweis auf möglichen Betrug.
Eine Alternative ist zudem TACK (Trust Assertion for Certificate Keys) — Websites, die HTTPS verwenden, signieren ein gültiges SSL-Zertifikat zusammen mit dem Domainnamen und dem Ablaufdatum mithilfe eines speziellen TACK-Schlüssels. Der Browser speichert Informationen zur Website, zum Zertifikat und zum Schlüssel beim Besuch durch den Anwender. Sollte das Zertifikat gefälscht sein, wird die Sitzung abgebrochen und der Nutzer mit einer entsprechenden Warnung informiert.