US-Cert, das United States Computer Emergency Readiness Team gibt eine Warnung zu HTTPS-Interception heraus. Die betrifft sämtliche Produkte, die HTTPS aufbrechen, um die Daten auf Malware zu analysieren, häufig also Virenscanner.

Sie sollen eigentlich für mehr Sicherheit im Unternehmensnetzwerk sorgen, sind aber letztlich Man-in-the-Middle-Angriffe: Anti-Malware-Appliances hören HTTPS-Streams ab, um darin enthaltene Malware-Signaturen zu finden. Das ist nichts Neues und zum Teil nötig, nun beschäftigt sich aber auch das US-Cert mit dem Thema und gab gestern eine Warnung (Alert TA17-075A) heraus.

In dieser setzt sich die Behörde mit den Risiken solcher HTTPS-Interceptions auseinander. Unternehmen, die solche Inspektionen als Anforderung setzen, sollten prüfen, ob diese Produkte eine korrekte TLS-Zertifikatsvalidierung vornehmen. Tun sie das nicht ordentlich, schwächen sie womöglich die Ende-zu-Ende-Verschlüsselung von HTTPS weiter. Indem die Produkte die Zertifikatskette beim Wiederverschlüsseln und weiterleiten der Daten nicht sauber prüfen, ermöglichen sie Man-in-the-Middle-Angriffe. Zugleich sehen die Verbindungen zum Server für die Clients sicher aus, weil die Antimalware-Produkte potenzielle Fehlermeldungen nicht weitergeben.

Vereinfacht gesagt gefährden die Produkte, die im Unternehmen eigentlich für Sicherheit sorgen wollen, die Sicherheit dieser Netzwerke. Das US-Cert rät daher am Ende der Warnung, den Umgang der Appliances mit HTTPS-Zertifikaten zu überprüfen und darauf zu achten, dass diese Fehlermeldungen an Clients weitergeben. Wer herausfinden will, ob das auch die eigene Security-Software betrifft, soll die Webseite Badssl.com nutzen. Dort finden sich auf Subdomains eine Reihe von Testfällen, von denen einige Fehlermeldungen im Browser hervorrufen – wenn die Antimalware-Produkte dies nicht verhindern.

Nicht zuletzt erklärt ein Blogpost der Carnegie-Mellon-Universität das Problem im Detail und nennt auch verschiedene Unternehmensprodukte, die potenziell von dem Problem betroffen sein könnten.