Sysbus
GlosseSecurity

Let’s Encrypt stellt eine Million Zertifikate aus – Eine Medaille mit zwei Seiten

gcg

Autor/Redakteur: Kevin Bocek, VP Threat Intelligence and Security Strategy bei Venafi/gg

Kevin Bocek 185K

Ein großes Lob an die Let’s Encrypt-Initiative für die Ausstellung einer Million kostenloser Zertifikate. Das ist eine großartige Sache – mehr SSL/TLS schützt Daten und Privatsphäre. Doch mehr Zertifikate und insbesondere solche, die nicht kontinuierlich überwacht und vor Missbrauch geschützt werden, sorgen sicherlich auch für steigendes kriminelles Interesse und zunehmende verbrecherische Aktivitäten.

Für Cyber-Angreifer ist die Nutzung digitaler Zertifikate, mit denen sie sich einen vertrauenswürdigen Anstrich geben und sich in verschlüsseltem Traffic verbergen können, schnell zum Standard geworden – was dem ganzen Sinn und Zweck, der hinter verstärkter Verschlüsselung und dem Versuch, mithilfe kostenloser Zertifikate ein vertrauenswürdigeres Internet zu schaffen, steckt, fast entgegenwirkt.

Tatsächlich haben wir bereits erlebt, dass kostenlose Zertifikate von Bad Guys missbraucht wurden, wie beispielsweise bei der neuesten Malvertising-Kampagne, bei der von Let’s Encrypt ausgestellte Zertifikate zum Einsatz kamen. Cyber-Kriminelle werden in zunehmendem Maße Schlüssel ausnutzen und das Vertrauen, das Zertifikate genießen, missbrauchen, um Sicherheitskontrollen zu umgehen.

Es wird immer schwieriger zu erkennen, was vertrauenswürdig ist, und die verstärkte Nutzung von Verschlüsselung führt für Systeme, die vor Bedrohungen schützen, zu mehr toten Winkeln. Die Risiken im Falle missbrauchter Zertifikate sind sehr real. Unter anderem können sich Bad Guys in verschlüsseltem Traffic verbergen und so Malware übertragen oder Daten stehlen, mithilfe von Man-in-the-Middle-Angriffen (MitM) “gesicherte” Kommunikation abfangen, Webseiten für Phishing-Angriffe spoofen und Malware verbreiten, die mithilfe eines scheinbar legitimen Zertifikats signiert ist.

Der Wert eines Zertifikats liegt nicht in seinen Ausstellungskosten, sondern beruht auf dem Wert sowie auf dem Ruf der ausstellenden Zertifizierungsstelle und dem Zweck des Zertifikats. Zur Erhaltung dieses Werts müssen Organisationen die Integrität und Sicherheit ihrer Zertifikate sicherstellen.

Ähnliche Beiträge:

  1. Apple, das FBI und Hintertüren
  2. MailStore V12: Security auf neuem Level und vereinfachte Archivierung von Cloud-Services
  3. SSH-Schlüssel und SSL-Zertifikate sicher verwalten
  4. Kostenlose SSL-Zertifikate für SpaceNet Mail Kunden

Das könnte dir auch gefallen

FRITZ!Box 7490 erhält neues FRITZ!OS 6.20 – weitere FRITZ!Box-Modelle folgen

gg

Sophos bringt Sophos Cloud Native Security und schützt damit Server

gg

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

gg