Diese Woche begann f\u00fcr uns mit einem kleinen Schock \u2013 DigiCert war vermehrt in den Schlagzeilen vertreten. Mehrere IT-News Seiten berichteten \u00fcber einen Hack von DigiCerts Servern. Berichtet wurde, dass DigiCert, Lineage OS und weitere Unternehmen aufgrund einer Schwachstelle der Open-Source-Software Saltstack gehackt worden seien. Eigentlich h\u00e4tte die Software zum Automatisieren der Konfigurierung eigener Server DigiCert die Arbeit erleichtern sollen. Denn die Software erm\u00f6glicht die vereinfachte Steuerung und Kontrolle der eigenen Infrastruktur massiv. Aufgrund der Einfachheit und Skalierbarkeit wird diese bei zahlreichen Unternehmen genutzt. Allerdings konnten Security-Experten von F-Secure k\u00fcrzlich Schwachstellen des Systems von Saltstack (kurz: \u201eSalt\u201c) aufdecken. Diese als CVE-2020-11651 und CVE-2020-11652 bezeichneten Schwachstellen wurden von Hackern innerhalb k\u00fcrzester Zeit ausgenutzt.<\/p>\n
Den Hackern war es m\u00f6glich, Zugriff auf einen privaten Schl\u00fcssel eines Logs von DigiCert zu erhalten. Genauer: der Schl\u00fcssel des CT Log 2, welcher zum Signieren von SCTs (signierten Zertifikats-Timestamps) genutzt wird, konnte offengelegt werden. In einigen Portalen wurde daraufhin vermutet, dass eine Neuausstellung einiger k\u00fcrzlich ausgestellter Zertifikate notwendig sei.<\/p>\n
CT Logs f\u00fchren Aufzeichnungen \u00fcber ausgestellte SSL-Zertifikate. Mit den CT Logs kann die Ausstellung von Zertifikaten durch Certification Authorities also besser \u00fcberpr\u00fcft werden. Die CAs registrieren n\u00e4mlich ausgestellte Zertifikate auf den \u00f6ffentlich zug\u00e4nglichen qualifizierten CT-Logs. Wird eine Webseite mit SSL-Verschl\u00fcsselung im Browser aufgerufen, so pr\u00fcft der Browser eine stets gleiche Checkliste an Informationen. Der SCT-Nachweis ist ein Punkt, der innerhalb dieser Checkliste \u00fcberpr\u00fcft wird. Dieser Nachweis ist im SSL-Zertifikat vorhanden und um diesen zu \u00fcberpr\u00fcfen, werden die CT Log-Server verwendet. Genauer haben wir Ihnen dies in diesem Blogbeitrag dargelegt.<\/p>\n
DigiCert hat am 03. Mai nun ein eigenes Statement ver\u00f6ffentlicht und die Geschehnisse eingeordnet. Der CT Log 2 sei demnach ein altes Log, welcher bereits seit l\u00e4ngerer Zeit nicht mehr genutzt worden sei. Man vermute zudem nicht, dass Angreifer die M\u00f6glichkeit hatten, diesen zu missbrauchen. Besonders wichtig ist die, dass die CT Logs bei DigiCert getrennt voneinander sind. Lediglich der Log CT 2 sei betroffen. Die gesamte CA l\u00e4uft aber getrennt und unabh\u00e4ngig von den CT-Protokollen. Demnach ist die Aussage, dass DigiCert gehackt worden sei, nicht die ganze Wahrheit. Es konnte lediglich Zugriff auf diesen einen CT Log der CA ergattert werden. Alle CT Logs sind zus\u00e4tzlich voneinander getrennt. Google fordert zudem, dass Zertifikate in verschiedenen Logs aufgezeichnet werden. Da nur das eine Log betroffen war, hat dies keine Auswirkungen auf die k\u00fcrzlich ausgestellten SSL-Zertifikate. Mittlerweile hat DigiCert das Log aus Sicherheitsgr\u00fcnden deaktiviert. Zudem hat Salt einen Patch herausgebracht, welcher die Sicherheitsl\u00fccke beheben konnte.<\/p>\n
Es ist keine Neuausstellung Ihrer Zertifikate letztlich erworbenen Zertifikate erforderlich. Da nicht wie oft vermutet die gesamte CA gehackt wurde, sondern lediglich ein einziger CT Log betroffen war, k\u00f6nnen Sie Ihre Zertifikate wie gewohnt ohne Bedenken verwenden. Sie wurden mit mindestens einem anderen der Logs von DigiCert aufgezeichnet (Nessie, Yeti und Weitere). Laut F-Secure existieren noch immer 6000 erreichbare Server, die Saltstack mit der bestehenden Sicherheitsl\u00fccke verwenden. Nutzen Sie Saltstack? Dann patchen Sie jetzt, das Saltstack Package Repo finden Sie hier. Bestenfalls lassen Sie automatische Sicherheitsupdates zu.<\/p>\n
\nAlle SSL-Zertifikate<\/a> sind weiter g\u00fcltig, die Sicherheit Ihrer SSL-Verschl\u00fcsselung wurde nicht beeintr\u00e4chtigt und es besteht f\u00fcr Sie zum aktuellen Zeitpunkt kein Handlungsbedarf.<\/p>\nEmpfehlung an Nutzer von Saltstack<\/h3>\n