Die Zertifizierungsstelle StartSSL vergibt kostenlose SSL-Zertifikate für Web-Sites. Der Check, ob man auch deren Inhaber ist, ließ sich jedoch ganz einfach austricksen, berichtet ein Sicherheitsforscher.
Wer bei StartSSL ein kostenloses Zertifikat für seine Domain erwerben will, muss eigentlich nachweisen, dass er oder sie auch tatsächlich deren Eigentümer ist. Dazu schickt ihm die Zertifizierungsstelle eine Mail mit einem Token an postmaster
oder webmaster
für diese Domain. Doch die ließ sich ganz einfach umleiten, berichtet Osama Almanna, der den Fehler bei StartSSL gemeldet hat.
Das Web-Formular schickte die gewählte Mail-Adresse einfach per POST-Request an den Server. Der übernahm den offenbar ohne weitere Checks. Wenn jemand einen Proxy wie Burp bedienen kann, kann er damit auch die Mail-Adresse [email protected] des POST-Requests ändern und diese Mail umleiten. Almanna etwa ließ sich das Token für seine Domain an eine Hotmail-Adresse schicken.
Mit einem Proxy kann man die an den Server geschickte E-Mail-Adresse verändern und konnte damit die Verifikations-E-Mail umleiten.
Bild: Osama Almanna
Ein Angreifer hätte sich somit SSL-Zertifikate auf beliebige Domains ausstellen können, die alle üblichen Browser wie Firefox, Chrome und Internet Explorer akzeptieren. Mittlerweile hat StartSSL zusätzliche Checks eingebaut und ignoriert manipulierte Eingaben. Die meisten CAs wie etwa Let’s Encrypt unterstützen für Domain-Zertifikate keine E-Mail-Verifikation sondern verlangen, dass der Inhaber unter einer zufälligen URL eine Web-Seite erstellt.
Update: 13:30, 23.3.2016: Die Firma StartCom, Eigentümer der StartSSL CA, erklärt in einer Stellungnahme, dass die von dem Formular empfangene E-Mail-Adresse sehr wohl gecheckt werde. Dass eine Umleitung der Verfikations-E-Mail möglich gewesen sei, bestreitet die Firma dabei nicht. Doch zur Kontrolle der Eigentümerschaft ungeeignete E-Mail-Adressen würden im Zuge der Testprozedur verworfen. In dem von Almanna durchgeführten Tests verwendete dieser demnach eine Hotmail-Adresse, die im WHOIS-Eintrag für die Domain gelistet ist. Nur deshalb sei die erfolgte Umleitung erfolgreich gewesen. (ju)