xboxlive.com: Domain SSL Schlüssel unsicher!

19. Dezember 2015 | Von | Kategorie: Domain News, Domain Sicherheit

Microsoft gesteht Fehler ein: offene Xbox-Live-Zertifikate gefunden

Microsoft hat sich am sogenannten Patchday – der Tag an dem die Sicherheitslücken in Microsoft-Systemen geschlossen werden – mit einer offiziellen Warnung an die User und Kunden gewandt.
Im offiziellen Microsoft Advisory heißt es wörtlich: “Die privaten Schlüssel für ein Domain SSL/TLS-Zertifikat für *.xboxlive.com sind „versehentlich offengelegt“ worden.“ Und weiter „Es könnte für versuchte Man-in-the-Middle-Angriffe genutzt werden.“

Damit sind Cyberangriffe gemeint, bei denen sich Hacker als offizielle Spieldomain ausgeben, um an Kunden- und Bankdaten zu gelangen. Es wäre auch möglich, den Benutzern gezielt Schadprogramme zu schicken und so weitere Geräte zu infizieren. Microsoft selbst hat noch keinen Übergriffe durch Domainkriminelle feststellen können.

Trust List Updates wurden umgehend aufgespielt
Zum Schutz der Kunden hat Microsoft sogenannte Trust List Updates aufgespielt und damit den Trust-List-Updates für Windows 8 und 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und 2012 R2 sowie Windows 10 aufgespielt und dem Zertifikat vorübergehend das Vertrauen entzogen. Darin eingeschlossen ist auch die zugehörige Mobilversion.
Nutzer älterer Windows Versionen sind geschützt, solange in der Anwendung die Abweisung von „nicht vertrauenswürdigen Zertifikaten“ eingestellt wurde und diese Liste automatisch aktualisiert wird. Zudem können die Zertifikate nicht für andere Domains oder Codes w verwendet werden.

Kritik an sorglosem Umgang mit Zertifikaten
Nachdem peinlichen Fauxpas von Microsoft regt sich Kritik an dem anscheinend zu sorglosen Umgang mit Sicherheitszertifikaten. Unternehmen sollten diese Schlüssel sorgsamer hüten und damit Schäden verhindern. Solche Zertifikate dürfen nicht „versehentlich“ für jedermann zugänglich im Internet erscheinen.

Neben dem sorglosen Umgang mit den SSL Zertifikaten wird auch immer wieder die Vergabepolitik bemängelt. Die Bewerbungen werden häufig nicht geprüft und so kommt es immer wieder zu Fehlentscheidungen. Im vergangenen Herbst gerieten einige Zertifizierungsstellen , u.a Symantec und GoDaddy, in den Fokus der Öffentlichkeit, weil sie Hunderte Zertifikate an Fake-Domains und Phishing-Sites vergeben hatten.

Auch Google hatte 2015 größere Probleme mit unberechtigt erteilten Autorisierungen für chinesische Domains. Seitdem steht die chinesische Zertifizierungsstelle CNNIC auf Googles schwarzer Liste und der Browser Chrome akzeptiert deren Zertifikate nicht mehr.

 

Schreibe einen Kommentar