Cybersicherheitsexperten haben eine kritische Schwachstelle im Domain-Validierungssystem des Zertifizierungsdienstleisters SSL.com aufgedeckt. Die Sicherheitslücke ermöglichte es Angreifern, gültige TLS-Zertifikate für beliebige Domains zu erlangen, ohne tatsächliche Kontrolle über diese nachweisen zu müssen.
Technische Details der Sicherheitslücke
Die Schwachstelle liegt in der fehlerhaften Implementierung des Domain Control Validation (DCV) Verfahrens über DNS TXT-Einträge. Bei der standardmäßigen Überprüfung sollten Domain-Inhaber einen spezifischen DNS TXT-Eintrag erstellen, der eine Kontakt-E-Mail-Adresse enthält. Das System von SSL.com interpretierte jedoch fälschlicherweise den Domainnamen aus dieser E-Mail-Adresse als verifizierte Domain – unabhängig von der tatsächlich zu validierenden Domain.
Schwerwiegende Sicherheitsimplikationen
Die Ausnutzung dieser Schwachstelle eröffnete erhebliche Möglichkeiten für Man-in-the-Middle-Angriffe und Phishing-Kampagnen. Angreifer konnten die unrechtmäßig erlangten Zertifikate nutzen, um täuschend echte Kopien legitimer Websites zu erstellen und verschlüsselte Verbindungen zwischen Nutzern und Webdiensten zu kompromittieren.
Betroffene Systeme und Gegenmaßnahmen
Als direkte Folge des Vorfalls musste SSL.com elf fälschlich ausgestellte Zertifikate widerrufen. Zu den betroffenen Domains gehörten namhafte Dienste wie der Cloud-Service von Alibaba (aliyun.com), der kanadische Medizinsoftware-Anbieter Medinet sowie das singapurische Technologieunternehmen Gurusoft.
Praktische Demonstration der Schwachstelle
Der Sicherheitsforscher „Sec Reporter“ demonstrierte die Ausnutzbarkeit der Lücke am Beispiel von aliyun.com. Durch die Verwendung einer E-Mail-Adresse dieser Domain gelang es ihm, gültige TLS-Zertifikate für aliyun.com und www.aliyun.com zu erhalten, ohne jegliche Kontrolle über diese Ressourcen zu besitzen. Bemerkenswert ist, dass für einen erfolgreichen Angriff nicht einmal ein DNS TXT-Eintrag _validation-contactemail in der Zieldomain erforderlich war.
SSL.com hat als Sofortmaßnahme die betroffene DCV-Methode deaktiviert und arbeitet an einer umfassenden Lösung des Problems. Ein detaillierter Incident Report wird bis zum 2. Mai erwartet. Dieser Vorfall unterstreicht die fundamentale Bedeutung robuster Domain-Validierungsmechanismen in der Public Key Infrastructure und die Notwendigkeit regelmäßiger Sicherheitsaudits bei Zertifizierungsstellen. Organisationen sollten ihre SSL/TLS-Zertifikate kontinuierlich überwachen und verdächtige Ausstellungen umgehend melden.
