Zertifikate für beliebige Domain: Forscher demonstrieren kritisches DNS-Problem

[guest49]

Ein Forscher-Team weist nach, dass DNS nach wie vor kaputt ist – indem sie sich ohne Berechtigung Zertifikate auf eine beliebige Domain ausstellen lassen.


Die Namensauflösung via DNS ist einer der wichtigsten Bausteine des Internet. Und er ist nach wie vor haarsträubend unsicher. Das demonstrierte ein Forscher-Team des Fraunhofer SIT am Beispiel der Zertifikatsausstellung auf Basis von Domain Validation (DV). Es gelang ihnen dabei, die Kontrollen der Zertifzierungsstellen durch Manipulationen am DNS auszutricksen und sich ohne Berechtigung Zertifikate auf eine beliebige Domain ausstellen zu lassen.
Domain Validation (DV) ist das verbreitetste Prüfverfahren für die Ausstellung von Zertifikaten. Dabei weist der Antragsteller gegenüber der Zertifizierungsstelle nach, dass er tatsächlich administrative Kontrolle über die Domain hat, für die er ein Zertifikat beantragt. Das geschieht dann etwa über E-Mails mit einem Verifikations-Link an eine Admin-Mail-Adresse oder spezielle Dateien, die auf dem zugehörigen Web-Server anzulegen sind. Diese Kontrolle erfolgt vollständig automatisiert. Ihr erster Schritt ist immer die Auflösung der beantragten Domain via DNS durch die Zertifizierungsstelle (CA).

Vergiftete DNS-Caches

https://www.heise.de/security/meldung/Zertifikate-fuer-beliebige-Domain-Forscher-demonstrieren-kritisches-DNS-Problem-4156868.html