Comodo hatte wohl ein skurriles Sicherheitsleck
Bei der Zertifizierungsstelle Comodo wurde eine Sicherheitslücke festgestellt, die Experten als „skurril“ bezeichnen. Durch einen Softwarefehler konnten Nutzer gültige SSL-Zertifikate für verschiedene fremde Domains ausstellen lassen. Entdeckt wurde der Fehler von Florian Heinz und Martin Kluge von der Vautron Rechenzentrum AG. Die Experten konnten sich problemlos ein Zertifikat für eine Webseite des Providers A1 (Österreich) ausstellen lassen.
Sicherheitsprobleme durch fehlerhafte Texterkennung
Der Fehler bei dem Test der Experten kam durch einen Fehler im Algorithmus der Texterkennungssoftware OCR, die von Comodo zum Lesen der SSL-Anträge genutzt wird. Direkt nach der Antragstellung ruft ein System der Zertifizierungsstelle die WHOIS Daten der Domain auf, die zertifiziert werden soll. Dort findet Comodo dann die Email-Adresse des Ansprechpartners und schickt einen Bestätigungslink. Wir dieser vom Administrator angeklickt, ist für die Zertifizierungsstelle klar, dass der Empfänger der Mail die „Kontrolle über die Domain“ besitzt und stellt das gewünschte SSL-Zertifikat aus.
Die Verifizierung ist also einfach, doch bei den TLDs .eu und .be wird bei Anfragen eine anonymisierte Version der WHOIS Abfrage geliefert, die keine konkreten Inhaberinformationen enthält. Die zugehörige Mailadresse erfährt Comodo nur über Webdienste wie NIC. Doch diese Unternehmen liefern keine Originaldateien sondern nur Bilddateien aus. Kein Problem für Comodo, denn alle Bilddateien sind durch die OCR Texterkennungssoftware gelaufen und hat benutzbaren Dateien erstellt. Danach entnahm Comodo die Mailadresse und schickte den Link an den angeblich Domainberechtigten.
Zu diesem Zeitpunkt passierte der Fehler, denn die Texterkennungssoftware ist mit einem Lesefehler im Algorithmus behaftet und hat sich demnach geirrt. Der Lesefehler bei den Ziffern 0 und 1 hatte zur Folge, dass die E-Mailadressen verfremdet wurden.
Comodo schaltet OCR ab
Die beiden Entdecker der Sicherheitslücke hatten nach einem Check die Zertifizierungsstelle informiert, die umgehend reagierte. Die Texterkennungssoftware, die seit Juli 2016 in betrieb ist, wurde noch im September abgeschaltet. Das Testzertifikat für den A1 Provider wurde widerrufen. Comodo gibt an, dass zwischen Juli und September keine weiteren unberechtigten Zertifikate ausgestellt wurden.