Bei SSL-Zertifikaten wurde eine Schwachstelle entdeckt, die es erlaubt ein gültiges Zertifikat für eine fremde Domain ausstellen zu lassen. Sicherheitsexperte Moxie Marlinspike hat bereits früher auf SSL-Schachstellen aufmerksam gemacht und laut heise nun auf der Black Hat-Konferenz neue Attacken demonstriert.

Null einfügen

Der Trick, die Zertifikatsstellen zu überlisten, ist denkbar simpel. Beim Antrag des Zertifikats muss im Namensfeld zwischen dem Domainnamen, für das das Zertifikat erschwindelt werden soll, und dem Namen der eigenen Domain lediglich eine Null eingesetzt werden, beispielsweise www.paypal.com\0.thoughtcrime.org. Bei mehreren Zertifikatsstellen wird nur der hintere Teil des Domainnamens ausgelesen. Bei der automatisierten WHOIS-Abfrage wird das Zertifikat in diesem Fall auf den Besitzer der Domain thoughtcrime.org ausgestellt. Der Rest des URLs wird als Subdomain angesehen.

Auch Browser ausgetrickst

Im Browser wird die Null dem Bericht zufolge als Stopzeichen interpretiert, der Rest wird ignoriert. Bislang würde nur Firefox 3.5 den Trick durchschauen. Für Version 3.0 sei bereits ein Update in Vorbereitung. Auch Microsoft sei informiert und arbeite an einer Aktualisierung für den Internet Explorer. Bei Safari und Opera würde die 0 ignoriert und die beiden Domains zusammengesetzt. Marlinspike warnt allerdings, dass auf manipulierten Systemen das Updatesystem der Browser (außer Windows Update) mittels sslsniff umgangen werden könnte. (red)