Comodo bot eine Lücke für gültige SSL – Zertifikate

Das Internet ist nie richtig sicher, dies beweist der neue Fall von Comodo. Denn Comodo weist eine Sicherheitslücke auf, die zulässt, dass gültige SSL Zertifikate erstellt werden können und das natürlich für völlig fremde Domains.
Ein fehlerhafter Algorithmus hat dafür gesorgt dass dies möglich war. Dies ist nur ein schwacher Trost, denn gerade bei der Zertifizierungsstelle Comodo hätte dies nicht passieren sollen. Florian Heinz und Martin Kluge von der Vautron Rechenzentrum AG haben diese Lücke entdeckt und konnten ein Zertifikat für eine Webdomain bekommen.

Der Fehler wurde gefunden, es war ein Problem bei der Antragsprüfung, bei der die WHOS Information der Domain abruft, für die das Zertifikat sein soll. Hier ist die Mailadresse des Domaininhabers zu finden oder aber des passenden Ansprechpartners. An diese Mailadresse wird dann ein Link geschickt, der angeklickt werden muss, so dass man darlegt, dass man über die Domainadresse verfügt. Bei den Toplevedomains .eu und .be ist dies aber dann doch nicht so leicht gewesen, weil keine Mailadresse angezeigt wurde. Die Daten werden über Webdienste eingeholt, die NIC haben aber auch bestimmte Maßnahmen getroffen, so dass Informationen als Bilddateien aufgezeigt werden und nicht im Textformat. Comodo hat für sich einen Trick gefunden, um die Dateien aber doch in Text umzuwandeln. Und hier ist der Haken versteckt, denn der Algorithmus hatte einen Sehfehler, wie man es in Fachkreisen sagt. Er hat sich schlicht und ergreifend verlesen, denn er kann die Ziffer 1 und das kleine l nicht unterscheiden. Wenn auf ein kleines L eine Ziffer folgte, hat er dieses automatisch als eine 1 gelesen. Und wenn nach einer 0 ein Buchstabe folgte, wurde daraus dann ein kleines o. Das Problem soll seit Ende Juli 2016 bestehen denn da kam der fehlsichtige Algorithmus zum Einsatz. Und kaum zu glauben, aber außer diesem einen Fehler bei Kluge und Heinz, soll sonst nie etwas passiert sein. So sagt es auf jeden Fall das Unternehmen. Aber es zeigt sich durch diesen Fall wieder einmal, dass das Internet nie wirklich sicher ist und immer gewisse Nachteile mit sich bringen kann. Wenn es bei dem einen Zwischenfall geblieben ist, hat Comodo einfach nur richtig viel Glück gehabt. Auch wenn ein Zertifikat widerrufen werden kann, wäre es bei mehreren Fällen doch zu viel Arbeit und Mühe gekommen.

Autor: Kerstin Münchehofe, Redaktion Domainalliance