SSL/TLS-Zertifikate analysieren – Was Zertifikatsdetails über Unternehmen verraten

von

Stefan
in , ,

Einleitung

SSL/TLS-Zertifikate sorgen für verschlüsselte Verbindungen im Internet – erkennbar am HTTPS in der Adresszeile. Doch neben ihrer Sicherheitsfunktion enthalten Zertifikate oft auch wertvolle Metadaten, die für die Passive Reconnaissance von großem Interesse sind.
Angreifer, Pentester und Verteidiger können durch die Analyse von Zertifikaten erstaunlich viel über ein Unternehmen herausfinden.

Was steckt in einem Zertifikat?

Ein SSL/TLS-Zertifikat enthält verschiedene Informationen, die öffentlich einsehbar sind:

  • Common Name (CN): meist die Hauptdomain, für die das Zertifikat gilt.
  • Subject Alternative Names (SANs): zusätzliche Domains/Subdomains, die abgesichert sind.
  • Organisation & Standort: Angaben zum Unternehmen, das das Zertifikat registriert hat.
  • Issuer: die Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat.
  • Gültigkeitsdauer: Start- und Ablaufdatum.
  • Fingerprints: eindeutige kryptografische Kennungen.

👉 Besonders spannend: SANs – hier tauchen oft Subdomains auf, die nicht direkt verlinkt sind, aber durch das Zertifikat sichtbar werden.

Passive Reconnaissance mit Zertifikaten

1. Subdomains entdecken

  • Zertifikate decken oft ganze Gruppen von Subdomains ab.
  • Beispiel: Ein Zertifikat für *.unternehmen.de verrät, dass zahlreiche Services unter dieser Domain erreichbar sein könnten.

2. Organisationsinformationen

  • Manche Zertifikate (v. a. ältere oder Extended Validation) enthalten Angaben wie:
    • Firmenname
    • Standort (Stadt, Land)
    • Unternehmensabteilung
  • Diese Infos helfen Angreifern, Unternehmensstrukturen zu verstehen.

3. Zertifikatstransparenz-Logs (CT-Logs)

  • Jede Zertifikatsausstellung wird in öffentlichen Logs dokumentiert.
  • Tools wie crt.sh ermöglichen es, nach Domains zu suchen und alle dazugehörigen Zertifikate einzusehen.
  • Vorteil: Auch Subdomains, die nie veröffentlicht wurden, können so sichtbar werden.

4. Ablaufdaten analysieren

  • Angreifer: könnten prüfen, ob bald ablaufende Zertifikate ein Risiko darstellen.
  • Verteidiger: nutzen diese Daten, um Monitoring und Erneuerung rechtzeitig zu planen.

Risiken für Unternehmen

  • Ungewollte Transparenz: Zertifikate verraten Subdomains und interne Strukturen.
  • Abgelaufene Zertifikate: können Angriffe erleichtern oder Systeme lahmlegen.
  • Falsche Konfigurationen: schwache oder veraltete Algorithmen (z. B. SHA-1) sind ein Sicherheitsrisiko.

Schutzmaßnahmen

  1. Zertifikats-Monitoring: Tools wie crt.sh oder CertSpotter regelmäßig nutzen, um neue Zertifikate im Blick zu haben.
  2. Transparenz bedenken: Bei Ausstellung neuer Zertifikate auf enthaltene Subdomains achten.
  3. Lifecycle-Management: Abläufe und Automatisierung (z. B. Let’s Encrypt) einsetzen, um abgelaufene Zertifikate zu vermeiden.
  4. Sichere Konfiguration: Nur moderne Protokolle und Algorithmen verwenden.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert