Was ist das Anheften von Zertifikaten?

  • Artikel

Das Anheften von Zertifikaten ist eine Sicherheitstechnik, bei der beim Einrichten einer sicheren Sitzung nur autorisierte oder angeheftete Zertifikate akzeptiert werden. Jeder Versuch, eine sichere Sitzung mithilfe eines anderen Zertifikats einzurichten, wird abgelehnt.

Anheften von Zertifikaten – Hintergrundinformationen

Das Anheften von Zertifikaten wurde ursprünglich entwickelt, um Man-in-the-Middle-Angriffe (MITM) zu vereiteln. Das Anheften von Zertifikaten wurde erstmals 2011 aufgrund der Kompromittierung der Zertifizierungsstelle (CA) DigiNotar populär, bei der Angreifer*innen es schafften, Platzhalterzertifikate für mehrere namhafte Websites – darunter Google – zu erstellen. Chrome wurde so aktualisiert, dass es die aktuellen Zertifikate für Google-Websites „anheftet“ und jede Verbindung ablehnt, wenn ein anderes Zertifikat vorgelegt wird. Selbst wenn es Angreifer*innen gelänge, über eine Zertifizierungsstelle ein gefälschtes Zertifikat auszustellen, würde dieses Zertifikat von Chrome immer noch als ungültig betrachtet und die Verbindung abgewiesen.

Obwohl Webbrowser wie Chrome und Firefox zu den ersten Anwendungen gehörten, die dieses Verfahren implementieren, wurde das Spektrum der Anwendungsfälle schnell erweitert. IoT-Geräte, mobile iOS- und Android-Apps und eine Vielzahl von Softwareanwendungen begannen damit, diese Technik zur Abwehr von Man-in-the-Middle-Angriffen zu nutzen.

Mehrere Jahre lang galt das Anheften von Zertifikaten als bewährte Sicherheitsmaßnahme. Der Überblick über die öffentliche Public Key-Infrastruktur (PKI) hat sich durch den Einblick in die Ausstellungsverfahren öffentlicher vertrauenswürdiger Zertifizierungsstellen verbessert.

Behandeln des Anheftens von Zertifikaten in Ihrer Anwendung

In der Regel enthält eine Anwendung eine Liste autorisierter Zertifikate oder Zertifikateigenschaften wie z. B. Distinguished Name der Antragssteller*innen, Fingerabdruck, Seriennummer und öffentliche Schlüssel. Anwendungen können sich an einzelne Blatt- oder Endentitätszertifikate, untergeordnete Zertifizierungsstellenzertifikate oder sogar Stammzertifizierungsstellenzertifikate anheften.

Wenn Ihre Anwendung explizit eine Liste zulässiger Zertifizierungsstellen angibt, müssen Sie möglicherweise in regelmäßigen Abständen angeheftete Zertifikate aktualisieren, wenn Zertifizierungsstellen sich ändern oder ablaufen. Um das Anheften von Zertifikaten zu erkennen, empfiehlt es sich, die folgenden Schritte auszuführen:

  • Als Anwendungsentwickler*in können Sie im Quellcode nach einem der folgenden Verweise auf die Zertifizierungsstelle, die sich ändert oder abläuft. Wenn eine Übereinstimmung vorliegt, aktualisieren Sie die Anwendung, um die fehlenden Zertifizierungsstellen einzuschließen.

    • Zertifikatfingerabdrücke
    • Distinguished Name der Antragsteller*innen
    • Allgemeine Namen
    • Seriennummern
    • Öffentliche Schlüssel
    • Andere Zertifikateigenschaften

  • Wenn Ihre benutzerdefinierte Clientanwendung in Azure-APIs oder andere Azure-Dienste integriert ist und Sie nicht sicher sind, ob sie das Anheften von Zertifikaten verwendet, wenden Sie sich an den Anwendungsanbieter.

Einschränkungen beim Anheften von Zertifikaten

Die Praxis des Anheftens von Zertifikaten ist inzwischen weitgehend umstritten, da sie mit inakzeptablen Kosten im Zusammenhang mit der Zertifikatagilität verbunden ist. Eine spezielle Implementierung, HTTP Public Key Pinning (HPKP), ist inzwischen vollständig veraltet.

Da es keinen einheitlichen Webstandard für das Anheften von Zertifikaten gibt, können wir keine konkrete Anleitung zur Erkennung ihrer Verwendung bereitstellen. Wir raten zwar nicht vom Anheften von Zertifikaten ab, die Kund*innen sollten jedoch die damit verbundenen Einschränkungen kennen, wenn sie sich für dieses Verfahren entscheiden.

Nächste Schritte