CERT: Warnung vor HTTPS-Inspektion

Sicherheitsprodukte können durch fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen. Das gilt etwa für Antivirus-Software, die HTTPS zur Erkennung von Malware unterbricht. Laut US-CERT kann nach einer HTTPS-Inspektion die TLS-Verschlüsselung geschwächt sein.

Das US-CERT warnt, dass alle Systeme nach einer HTTPS-Unterbrechung potentiell unsicher sind, da die TLS-Verschlüsselung geschwächt sein kann. Das bezieht sich auf HTTPS-Unterbrechung, wie sie beispielsweise oft durch Antivirus-Software erfolgt, um Malware zu erkennen.

Verschlüsselung (Bild: Shutterstock)

Auch wenn eine solche HTTPS-Inspektion sinnvoll sein kann, erfordert sie eine Abwägung der damit verbundenen Risiken, wie zuvor ein Blogeintrag der Carnegie Mellon University darlegte. Nicht selten kommt es demnach vor, dass Sicherheitsprodukte durch eine fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen.

„HTTPS-Inspektion erfolgt durch Unterbrechung des HTTPS-Netzwerkverkehrs und eine Man-in-The-Middle-Attacke auf die Verbindung“, erklärt das CERT. Zu ihrer Durchführung müssen Administratoren vertrauenswürdige Zertifikate auf den Client-Geräten installieren. Das führt aber dazu, dass ein Client-System eine HTTPS-Verbindung nicht mehr unabhängig validieren kann, sondern nur die Verbindung zwischen sich und dem Produkt, das HTTPS unterbricht. Clients müssen sich also auf die HTTPS-Prüfung durch das jeweilige Produkt verlassen, das sich in die Verbindung gedrängt hat.

Aus der kürzlich veröffentlichten Studie The Security Impact of HTTPS Interception (PDF) geht aber hervor, dass viele HTTPS-Inspektion-Produkte die Zertifikatskette des Servers nicht ordentlich verifizieren, bevor sie erneut verschlüsseln und die Daten an Clients weiterleiten – was wiederum anderen einen MITM-Angriff ermöglichen kann. Darüber hinaus werden Hinweise auf Verifizierungsprobleme in der Zertifikatskette nicht immer an den Client weitergereicht, der dann vielleicht fälschlicherweise von einer korrekten Verbindung mit dem richtigen Server ausgeht.

Grundsätzlich empfiehlt das CERT Organisationen, die HTTPS-Inspektion in Betracht ziehen, vorher eine sorgfältige Abwägung der Vorteile und Nachteile solcher Produkte vorzunehmen. Um zu ermitteln, ob ein unterbrechendes Produkt Zertifikate vorschriftsmäßig validiert und Verbindungen zu Sites mit schwacher Verschlüsselung verhindert, könnte sich die Website Badssl.com eignen. Sie stellt eine Reihe von Tests für gründliche Überprüfung bereit.

WEBINAR

What´s next – Storage & Co: Die Enterprise Cloud!

Lernen Sie in diesem Audio-Webinar die Bausteine einer Enterprise Cloud Plattform kennen. Erfahren Sie, wie Sie maximale Freiheit und Flexibilität für Ihre Anwendungen erzielen. Mehr Outcome mit weniger Input erzielen – konkrete Anwendungsbeispiele.

Themenseiten: Internet, Sicherheit, US-CERT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu CERT: Warnung vor HTTPS-Inspektion

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *