Let's Encrypt - eine von Chrome und Mozilla unterstützte automatisierte Zertifizierungsstelle - kündigte kürzlich eine Maßnahme an, die einen weiteren Schutz vor Angreifern einführt. Diese heißt Multi-Perspektive-Domain-Validierung und hilft der Zertifizierungsstelle (CA) zu bescheinigen, dass ein Antragsteller tatsächlich die Domain kontrolliert, für die er ein Zertifikat erhalten möchte.
Die Domänenvalidierung ist nicht neu. Jedoch bedeutet ein potenzielles Problem in diesem Prozess, dass ein Netzwerkangreifer eine CA austricksen kann, um ein Zertifikat falsch auszustellen. Bei der Multi-Perspektive-Domain-Validierung müssen Angreifer gleichzeitig drei verschiedene Netzwerk-Pfade erfolgreich kompromittieren. Dies wird nicht nur schwieriger zu erreichen sein, vielmehr wird auch die Internet-Topologie-Gemeinschaft eine höhere Chance haben, den Angriff zu bemerken.
Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi kommentiert den Vorgang wie folgt: „Es ist großartig zu sehen, dass Let's Encrypt das Validierungsniveau erhöht, um den Besitz und die Kontrolle über eine Domäne besser zu demonstrieren. Wir wissen jedoch, dass Zehntausende von Let's Encrypt-Zertifikaten täglich von Cyber-Angreifern verwendet werden, um ihre Phishing-Angriffe glaubwürdiger zu machen.“
„Viele Unternehmen könnten nun davon ausgehen, dass es nicht ihr Problem ist, wenn sie keine Let's Encrypt-Zertifikate verwenden, aber das ist nicht der Fall. Angreifer können immer noch ein Let's Encrypt-Zertifikat erhalten, das in Sekundenschnelle wie jede beliebige Domäne aussieht. Die einzige Möglichkeit, sich zu schützen, ist die vollständige Transparenz über alle TLS-Zertifikate im gesamten Internet.“
„Die Verwendung von Maschinenidentitäten wie TLS-Zertifikaten zur Ermöglichung von vertrauenswürdigen und effektiven Phishing-Angriffen gehört zum alltäglichen Angriffsinstrumentarium von Hackern aller Art. Wir haben Zehntausende von Let's Encrypt-Zertifikaten gesehen, die von Cyberkriminellen für Phishing verwendet werden. Dies ist jetzt ein Problem für jedes Unternehmen, unabhängig davon, ob es Let's Encrypt verwendet oder nicht, sie sind bereits ein Ziel gewesen.“