Editorial

Das schwächste Glied

Kaum ein Monat vergeht, in dem keine Presseberichte von einem größeren Datenleck die Runde machen – zuletzt traf es den Mietwagenanbieter Buchbinder. Die ... (mehr)

Nicht nur wir weisen uns regelmäßig aus, besonders auf Reisen. Auch Webseiten, die wir besuchen, sowie Applikationen auf unseren Rechnern müssen ihre Identität digital bescheinigen, bevor sie mit privilegierten Rechten laufen dürfen. Zumindest warnt uns Windows ausdrücklich vor dem Ausführen nicht signierter Programme. So weit, so gut, würde dieses Vorgehen nicht einige gravierende Schwachpunkte aufweisen.

Da sind zum einen die teils zweifelhaften Certificate Au­thorities, die gültige Zertifikate nach meist oberflächlicher Überprüfung der Antragsteller ausstellen – oder gleich zu "Testzwecken" Zertifikate für Domains erzeugen, für die sie überhaupt nicht zuständig sind. Wir erinnern uns an die 2016 von Symantec für diverse Internetdomänen fälschlicherweise ausgestellten Zertifikate. Inwieweit CAs überdies vor allem in Ländern mit autoritären Regierungen frei von staatlichen Interessen arbeiten können, sei einmal dahingestellt.

Anfang 2020 schreckte dann die National Security Agency die IT-Branche auf: Dank einer Schwachstelle in Windows war es Angreifern möglich, ihrer Schadsoftware ein vermeintlich gültiges Zertifikat mitzuliefern und Sicherheitsmechanismen so auszutricksen. Hier müssen wir dem Nachrichtendienst zugutehalten, diese Lücke an Microsoft gemeldet und nicht für eigene Zwecke geheim gehalten zu haben. Dabei stellt die als CVE-2020-0601 bekannt gewordene Schwachstelle nichts weniger als einen weiteren Knacks im wackeligen Zertifikatsgebilde dar.

Freilich gibt es Minischritte in die richtige Richtung, wie die "Extended Validation Certificates", bei denen die Antragsteller gründlicher durchleuchtet werden. Spätestens seit den erfolgreichen Versuchen von Ian G. Carroll, das Verfahren durch gefälschte Angaben als Antragsteller auszutricksen, sind auch die erweiterten Zertifikate im Prinzip nutzlos. Der große Wurf ist bislang ausgeblieben und um den 2013 gegründeten "CA Security Council" ist es ebenfalls ruhig geworden.

So müssen wir uns weiter mit einem inhärent unsicheren Zertifikatswesen begnügen und versuchen, wenigstens unsere IT darum herum so sicher wie möglich auszugestalten. Mit unserer März-Ausgabe und dem Schwerpunktthema "Informationssicherheit" möchten wir Ihnen vielfältige Ansätze hierfür vorstellen und wünschen viel Spaß beim Lesen.

Ihr

Daniel Richey

Stellv. Chefredakteur, Chef vom Dienst

comments powered by Disqus
Mehr zum Thema

Workshop: Kostenfreie SSL-Zertifikate erstellen

Das gegenseitige Feststellen der Identität ist ein wesentlicher Grundbaustein der Online-Sicherheit beim vertrauenswürdigen Datenaustausch. Server-Zertifikate bestätigen die Zugehörigkeit einer Site zu einem Unternehmen und werden in der Regel von anerkannten Zertifizierungsstellen angeboten. Wer jedoch die kostenintensive Authentifizierung scheut, dem stehen durchaus preiswerte Alternativen zur Verfügung. Community-basierte Ansätze ersetzen hierbei die oft teuren CAs.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022