Manch­mal, wenn bei “heise online” keinem Redak­teur mehr etwas zu irgendwelchen Kino­seifenopern ein­fällt (siehe hier, hier, hier u.a.), wagt ein­er von ihnen den ger­adezu frechen Vorschlag zu machen, man könne ja stattdessen etwas über diese komis­che Tech­nik, von der ger­ade alle reden, bericht­en; hppt, Inter­nett und wie das alles heißt. Dann kommt ein lustiger Artikel wie dieser hier her­aus, dessen Autor Den­nis Schirrma­ch­er (“Medi­en­wis­senschaftler”, zuvor bei der auch nicht viel besseren Zeitschrift “AUDIO TEST” als Chefredak­teur beschäftigt) schon in der Ein­leitung von einem Pub­likum aus­ge­ht, das eigentlich auch viel lieber etwas über irgendwelche Filme lesen würde:

HTTPS-Web­seit­en weck­en Ver­trauen.

Da auch diese Webpräsenz hier, auf der ihr diesen Text lesen kön­nt, via https aus­geliefert wird (und damit wahrschein­lich eine “HTTPS-Web­seite” ist), bedeutet das, ihr kön­nt mir ver­trauen. Ich habe mir näm­lich ein Zer­ti­fikat instal­liert, mit dem ich nachgewiesen habe, dass ich Schreibrechte auf dem Web­serv­er habe, und das dafür sorgt, dass die Über­tra­gung manch­er Dat­en zwis­chen euch und mein­er Webpräsenz ver­schlüs­selt wird. Damit weise ich wed­er nach, dass ich keine böswillige Soft­ware auf eurem Rech­n­er instal­lieren möchte (na — JavaScript noch aktiviert?), noch, dass ich iden­tisch mit dem Kasper im Impres­sum bin.

Aber in eurem Brows­er ist möglicher­weise ein Schloss vor der Adresse zu sehen. Deswe­gen kön­nt ihr mir ver­trauen.

Doch auch Online-Gauner kön­nen sich oft über Umwege ver­trauenswürdi­ge Zer­ti­fikate ausstellen.

Und zwar, indem sie für ihre Gauner­web­site ein Zer­ti­fikat beantra­gen. Kön­nt ihr ver­trauen, ist ein Schloss dran.

Nun haben Krim­inelle das erste Let’s‑Encrypt-Zertifikat genutzt, um Ver­trauenswürdigkeit vorzu­gaukeln.

Was Den­nis Schirrma­ch­er hier “vor­gaukelt”, möchte ich gar nicht weit­er bew­erten, aber offen­bar stellt es für zumin­d­est ihn eine bericht­enswerte Neuigkeit dar, dass eine Zer­ti­fizierungsstelle (CAc­ert, StartSSL, Let’s Encrypt, …) gar nicht wis­sen möchte, was der Empfänger mit dem Zer­ti­fikat vorhat, so lange seine Anfrage valide ist. Ob die Krim­inellen damit “Ver­trauenswürdigkeit vor­gaukeln” wollen, weiß ich nicht, aber wenn sie über ein aus­re­ichend viel tech­nis­ches Wis­sen ver­fü­gen, um sturzfrei eine Web­site einzuricht­en, dann ist davon auszuge­hen, dass das Unsinn ist.

Online-Gauner waren in der Lage, sich eine Sub­do­main für eine legit­ime Domain einzuricht­en und dafür erfol­gre­ich ein Let’s‑Encrypt-Zertifikat zu beantra­gen, warnt Trend Micro.

“Online-Gauner” — puh, wenig­stens ist noch nicht von “Cyber-Gaunern” die Rede — haben also die DNS-Ein­träge für eine “legit­ime Domain” (wie genau sieht denn eine “ille­git­ime Domain” aus?) ändern und für die unter ihrer Kon­trolle ste­hende neue Sub­do­main ein Zer­ti­fikat beantra­gen kön­nen, da die Zer­ti­fizierungsstelle grund­sät­zlich davon aus­ge­ht, dass dir eine Domain, die du ver­wal­test, auch gehören darf. Die eigentliche Mel­dung daran ist, dass eine Domain offen­sichtlich teil­weise mit vollen Recht­en gekapert wer­den kon­nte. Das passiert nicht über­mäßig sel­ten, hat aber mit Zer­ti­fikat­en erst ein­mal nicht beson­ders viel zu tun. Das ist Den­nis Schirrma­ch­er aber ver­mut­lich (zu Recht) nicht inter­es­sant genug, eben weil es recht häu­fig passiert, und so glaubt er einen ganz anderen Skan­dal gefun­den zu haben: Let’s Encrypt verteilt wie bish­er auch CAc­ert und StartSSL kosten­los Zer­ti­fikate an Leute, denen eine Domain zu gehören scheint. Kreisch!

Das Anle­gen ein­er Sub­do­main ist nicht ohne weit­eres möglich. Denkbar wäre, dass die Online-Gauner auf irgen­deinem Weg an die Zugangs­dat­en für die Domain-Ver­wal­tung gekom­men sind.

Ja, denkbar ist sicher­lich richtig, höchst­wahrschein­lich bis beina­he als gesichert anzuse­hen ist für einen anständi­gen Redak­teur von “heise online”, der sich mit der Materie, über die er bericht­en soll, nicht so recht auszuken­nen scheint, eben zu spez­i­fisch. Unter der Über­schrift “CA als Fil­ter für gefährliche Inhalte?” — Spoil­er: nein — find­et er dafür schließlich doch noch einen Schuldigen daran, dass Krim­inelle sich ein­fach irgendwelche Domains aneignen kön­nen:

Let’s Encrypt sieht den Auf­gaben­bere­ich ein­er CA nicht darin, Inhalte zu fil­tern.

Das ist aber ganz schön nach­läs­sig von Let’s Encrypt, dass sie als Zer­ti­fikatsstelle nicht darauf acht­en, dass auf der zer­ti­fizierten Web­site kein Übel passiert. Man stelle sich vor, die Zulas­sungsstelle würde bei der Ver­gabe von Kennze­ichen nicht dafür Sorge tra­gen, dass der Fahrzeughal­ter kein Übles im Schilde führt!

Was macht man nun eigentlich als ein­fach­er Web­surfer mit der Infor­ma­tion, dass ein grünes Schloss in der Adressleiste des Browsers zu Den­nis Schirrma­ch­ers Über­raschung gar nicht bedeutet, dass da keine Krim­inellen unter­wegs sind? Die Lösung ste­ht da eigentlich nur impliz­it:

Die Sub­do­main soll auf einen Serv­er ver­weisen, der unter Kon­trolle der Krim­inellen ste­ht und Wer­bung mit Schad­code verteilt.

Das wesentliche Prob­lem mit dem Geschilderten ist also wed­er, dass “Online-Gauner” eine Sub­do­main ein­gerichtet haben, noch, dass eine fiese Zer­ti­fizierungsstelle ein­fach Domains vali­diert, sobald man nach­weist, dass man sie admin­istri­eren kann; das wesentliche Prob­lem ist es, dass schädliche Wer­be­ban­ner von dieser zer­ti­fizierten Domain aus­geliefert wer­den. Dage­gen indes gibt es wirk­same Abhil­fe: Ein­fach einen Wer­be­block­er wie Adguard oder uBlock instal­lieren. Natür­lich ist in Den­nis Schirrma­ch­ers Artikel davon allerd­ings keine Rede, denn “heise online” will ja auch von irgend­was leben.

Der Artikel auf “heise online” ist übri­gens nicht über https abruf­bar. Was das wohl bedeutet?