Cybersicherheitsexperten haben eine kritische Sicherheitslücke im Domain Control Validation (DCV) System des Zertifizierungsdienstleisters SSL.com aufgedeckt. Die Schwachstelle ermöglichte es Angreifern, gültige TLS-Zertifikate für Domains zu erlangen, ohne tatsächliche Kontrolle über diese zu besitzen – ein Umstand, der die Grundprinzipien der Web-Sicherheitsinfrastruktur gefährdet.
Technische Details der Sicherheitslücke
Der Validierungsprozess für SSL-Zertifikate basiert normalerweise auf einem mehrstufigen Verfahren zur Überprüfung der Domain-Inhaberschaft. Bei SSL.com wurde jedoch eine fundamentale Schwachstelle im E-Mail-basierten Validierungssystem identifiziert: Das System interpretierte fälschlicherweise die Domain aus der Kontakt-E-Mail-Adresse als verifiziert, ohne die tatsächliche Ziel-Domain zu berücksichtigen. Diese Fehlkonfiguration ermöglichte es Angreifern, mit einer E-Mail-Adresse wie beispielsweise [email protected] unberechtigt Zertifikate für example.com zu beantragen.
Betroffene Domains und Ausmaß des Vorfalls
Die Auswirkungen dieser Sicherheitslücke waren erheblich. SSL.com musste insgesamt 11 fälschlich ausgestellte Zertifikate zurückrufen. Zu den betroffenen Domains gehörten prominente Websites wie:
– Der Cloud-Service-Provider Aliyun (aliyun.com)
– Der kanadische Gesundheitsdienstleister Medinet (medinet.ca)
– Die Online-Glücksspielplattform BetVictor (betvictor.com)
– Verschiedene Unternehmensdomains
Sicherheitsrisiken und potenzielle Angriffsvektoren
Die Verfügbarkeit nicht autorisierter TLS-Zertifikate eröffnet Cyberkriminellen multiple Angriffsmöglichkeiten:
– Durchführung sophistizierter Phishing-Kampagnen mit validen Zertifikaten
– Man-in-the-Middle-Angriffe zur Trafiküberwachung
– Entschlüsselung von HTTPS-verschlüsselter Kommunikation
– Kompromittierung der Vertrauenskette zwischen Websites und Besuchern
SSL.com hat unmittelbar nach Entdeckung der Schwachstelle reagiert und den betroffenen Validierungsmechanismus deaktiviert. Dieser Vorfall unterstreicht die kritische Bedeutung robuster Validierungsprozesse in der PKI-Infrastruktur und zeigt, wie einzelne Implementierungsfehler weitreichende Auswirkungen auf die globale Internetsicherheit haben können. Organisationen sollten ihre SSL/TLS-Zertifikate regelmäßig überwachen und verdächtige Ausstellungen umgehend an ihre Zertifizierungsstellen melden.
