Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

05.01.2009

Hacker fälschen SSL-Zertifikat

Eine Gruppe von europäischen und amerikanischen Hackern hat erfolgreich gezeigt, dass sie sich als Certificate Authority (CA) ausgeben und damit selbst neue SSL-Zertifikate ausstellen können. Theoretisch könnten damit Kriminelle nicht zu entdeckende Phishing-Angriffe oder Man-in-the-Middle-Attacken fahren. Indem sich die Cyber-Kriminellen als CA darstellen, könnten sie beispielsweise erfolgreich SSL-gesicherte Web-Seiten - wie sie etwa beim Online-Banking zum Einsatz kommen - nachbauen, ohne dass der Anwender eine Warnmeldung erhält.

Allerdings funktioniert die Attacke nur mit Zertifikaten, die mit dem Hash-Algorithmus MD5 abgesichert sind, da die Basis des Angriffs eine seit 2004 bekannte Schwäche im MD5-Algorithmus ist.

Nach Angaben der Hacker wurden rund 30 Prozent aller im Web verwendeten SSL-Zertifikate mit MD5 abgesichert. Der MD5-Hash wird von sechs bekannten CAs verwendet. Hierzu zählen unter anderem RSA Data Security, RapidSSL, Thawte sowie verisign.co.jp.

Nicht betroffen von der Attacke sind Extended-Validation-Zertifikate (EV-SSL), da hier eine Nutzung von MD5 nicht gestattet ist. Zudem können die CAs weiteren Missbrauch verhindern, indem sie zu sichereren Signaturalgorithmen wie SHA-1 wechseln. (hi)