StartEncrypt hatte Sicherheitslücken
Das kostenfreie CA Zertifizierungsprogramm StartEncrypt wurde als Alternative zu Let`s Encrypt vorgestellt. Eine feine Sache für Jedermann, der Domains mit vertrauenswürdigen SSL Zertifikaten ausstatten will, die auch von Google, Facebook oder Dropbox akzeptiert werden.
Dabei setzt StartEncrypt auf einen einfachen Automatismus, der die Zertifizierung deutlich beschleunigen soll.
Der Domainnutzer muss sich nur ein entsprechendes Tool auf den PC laden, das alle Schritte automatisch durchführt. Das Programm meldet die entsprechenden Domains bei einem Zertifizierer an und identifiziert sich mit der API der Domains als Berechtigter Nutzer. Danach wird das SSL Zertifikat ausgestellt und auf dem Server installiert. Eigentlich ganz einfach, würde es in diesem Automatismus nicht einige Schwachstellen geben.
Niederländisches Sicherheitsunternehmen findet Schwachstellen
Die niederländische IT-Firma Computest hat in dem kostenfreien Programm StartEncrypt gleich mehrere relevante Sicherheitslücken entdeckt.
Die Sicherheitsforscher bemerkten, das ausgesuchte Dateien über die mit bestimmter URL über die passenden Domains aufgerufen werden konnten. In diesem Programm wurde die Verifizierung „verifyRes“ allerdings vom Client und nicht vom Server angegeben. Der CA stellte trotzdem für die Domain, über die diese Datei abrufbar war, ein gültiges Zertifikat aus. Somit wären Cyberkriminelle mit administrativen Möglichkeiten in der Lage, den verschlüsselten Datentext in Echtzeit und als Klartext zu lesen.
Weitere Probleme machte Computest bei der Überprüfung der Zertifikate des API Servers und Weiterleitungen von Domains aus, durch die Hacker leicht Zertifikate für beliebige Domains erhalten könnten.
Problem gemeldet und behoben
Computest hat den Betreiber von StartEncrypt umgehend über die Sicherheitslücken informiert. StartCom hat nach Kenntnisnahme der Probleme umgehend reagiert und seine API für Nutzer abgeschaltet. Das Unternehmen hat sich lediglich eine Woche Zeit genommen, um die Lücken zu schließen und die Anwendungen für Windows und Linux auf den neusten Stand zu bringen. Danach informierte StartCom die Sicherheitsforscher von Computest, welche Lücken geschlossen wurden und wartete au ein Feedback. Das niederländische Unternehmen sieht nach den Updates keine relevanten Fehler mehr im StartEncrypt – Programm, die für Nutzer problematisch werden könnten.