CERT: Warnung vor HTTPS-Inspektion

Sicherheitsprodukte können durch fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen. Das gilt etwa für Antivirus-Software, die HTTPS zur Erkennung von Malware unterbricht. Laut US-CERT kann nach einer HTTPS-Inspektion die TLS-Verschlüsselung geschwächt sein.

Das US-CERT warnt, dass alle Systeme nach einer HTTPS-Unterbrechung potentiell unsicher sind, da die TLS-Verschlüsselung geschwächt sein kann. Das bezieht sich auf HTTPS-Unterbrechung, wie sie beispielsweise oft durch Antivirus-Software erfolgt, um Malware zu erkennen.

Verschlüsselung (Bild: Shutterstock)

Auch wenn eine solche HTTPS-Inspektion sinnvoll sein kann, erfordert sie eine Abwägung der damit verbundenen Risiken, wie zuvor ein Blogeintrag der Carnegie Mellon University darlegte. Nicht selten kommt es demnach vor, dass Sicherheitsprodukte durch eine fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen.

„HTTPS-Inspektion erfolgt durch Unterbrechung des HTTPS-Netzwerkverkehrs und eine Man-in-The-Middle-Attacke auf die Verbindung“, erklärt das CERT. Zu ihrer Durchführung müssen Administratoren vertrauenswürdige Zertifikate auf den Client-Geräten installieren. Das führt aber dazu, dass ein Client-System eine HTTPS-Verbindung nicht mehr unabhängig validieren kann, sondern nur die Verbindung zwischen sich und dem Produkt, das HTTPS unterbricht. Clients müssen sich also auf die HTTPS-Prüfung durch das jeweilige Produkt verlassen, das sich in die Verbindung gedrängt hat.

Aus der kürzlich veröffentlichten Studie The Security Impact of HTTPS Interception (PDF) geht aber hervor, dass viele HTTPS-Inspektion-Produkte die Zertifikatskette des Servers nicht ordentlich verifizieren, bevor sie erneut verschlüsseln und die Daten an Clients weiterleiten – was wiederum anderen einen MITM-Angriff ermöglichen kann. Darüber hinaus werden Hinweise auf Verifizierungsprobleme in der Zertifikatskette nicht immer an den Client weitergereicht, der dann vielleicht fälschlicherweise von einer korrekten Verbindung mit dem richtigen Server ausgeht.

Grundsätzlich empfiehlt das CERT Organisationen, die HTTPS-Inspektion in Betracht ziehen, vorher eine sorgfältige Abwägung der Vorteile und Nachteile solcher Produkte vorzunehmen. Um zu ermitteln, ob ein unterbrechendes Produkt Zertifikate vorschriftsmäßig validiert und Verbindungen zu Sites mit schwacher Verschlüsselung verhindert, könnte sich die Website Badssl.com eignen. Sie stellt eine Reihe von Tests für gründliche Überprüfung bereit.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Internet, Sicherheit, US-CERT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu CERT: Warnung vor HTTPS-Inspektion

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *