DigiCert macht Schlagzeilen: Alle Informationen auf einen Blick

Diese Woche begann für uns mit einem kleinen Schock – DigiCert war vermehrt in den Schlagzeilen vertreten. Mehrere IT-News Seiten berichteten über einen Hack von DigiCerts Servern. Berichtet wurde, dass DigiCert, Lineage OS und weitere Unternehmen aufgrund einer Schwachstelle der Open-Source-Software Saltstack gehackt worden seien. Eigentlich hätte die Software zum Automatisieren der Konfigurierung eigener Server DigiCert die Arbeit erleichtern sollen. Denn die Software ermöglicht die vereinfachte Steuerung und Kontrolle der eigenen Infrastruktur massiv. Aufgrund der Einfachheit und Skalierbarkeit wird diese bei zahlreichen Unternehmen genutzt. Allerdings konnten Security-Experten von F-Secure kürzlich Schwachstellen des Systems von Saltstack (kurz: „Salt“) aufdecken. Diese als CVE-2020-11651 und CVE-2020-11652 bezeichneten Schwachstellen wurden von Hackern innerhalb kürzester Zeit ausgenutzt.

Den Hackern war es möglich, Zugriff auf einen privaten Schlüssel eines Logs von DigiCert zu erhalten. Genauer: der Schlüssel des CT Log 2, welcher zum Signieren von SCTs (signierten Zertifikats-Timestamps) genutzt wird, konnte offengelegt werden. In einigen Portalen wurde daraufhin vermutet, dass eine Neuausstellung einiger kürzlich ausgestellter Zertifikate notwendig sei.

Bedeutung des Zugriffs auf den CT Log bei DigiCert

CT Logs führen Aufzeichnungen über ausgestellte SSL-Zertifikate. Mit den CT Logs kann die Ausstellung von Zertifikaten durch Certification Authorities also besser überprüft werden. Die CAs registrieren nämlich ausgestellte Zertifikate auf den öffentlich zugänglichen qualifizierten CT-Logs. Wird eine Webseite mit SSL-Verschlüsselung im Browser aufgerufen, so prüft der Browser eine stets gleiche Checkliste an Informationen. Der SCT-Nachweis ist ein Punkt, der innerhalb dieser Checkliste überprüft wird. Dieser Nachweis ist im SSL-Zertifikat vorhanden und um diesen zu überprüfen, werden die CT Log-Server verwendet. Genauer haben wir Ihnen dies in diesem Blogbeitrag dargelegt.

DigiCert nimmt Stellung zum Vorfall der letzten Tage

DigiCert hat am 03. Mai nun ein eigenes Statement veröffentlicht und die Geschehnisse eingeordnet. Der CT Log 2 sei demnach ein altes Log, welcher bereits seit längerer Zeit nicht mehr genutzt worden sei. Man vermute zudem nicht, dass Angreifer die Möglichkeit hatten, diesen zu missbrauchen. Besonders wichtig ist die, dass die CT Logs bei DigiCert getrennt voneinander sind. Lediglich der Log CT 2 sei betroffen. Die gesamte CA läuft aber getrennt und unabhängig von den CT-Protokollen. Demnach ist die Aussage, dass DigiCert gehackt worden sei, nicht die ganze Wahrheit. Es konnte lediglich Zugriff auf diesen einen CT Log der CA ergattert werden. Alle CT Logs sind zusätzlich voneinander getrennt. Google fordert zudem, dass Zertifikate in verschiedenen Logs aufgezeichnet werden. Da nur das eine Log betroffen war, hat dies keine Auswirkungen auf die kürzlich ausgestellten SSL-Zertifikate. Mittlerweile hat DigiCert das Log aus Sicherheitsgründen deaktiviert. Zudem hat Salt einen Patch herausgebracht, welcher die Sicherheitslücke beheben konnte.

Wichtig für unsere DigiCert-Kunden

Es ist keine Neuausstellung Ihrer Zertifikate letztlich erworbenen Zertifikate erforderlich. Da nicht wie oft vermutet die gesamte CA gehackt wurde, sondern lediglich ein einziger CT Log betroffen war, können Sie Ihre Zertifikate wie gewohnt ohne Bedenken verwenden. Sie wurden mit mindestens einem anderen der Logs von DigiCert aufgezeichnet (Nessie, Yeti und Weitere).
Alle SSL-Zertifikate sind weiter gültig, die Sicherheit Ihrer SSL-Verschlüsselung wurde nicht beeinträchtigt und es besteht für Sie zum aktuellen Zeitpunkt kein Handlungsbedarf.

Empfehlung an Nutzer von Saltstack

Laut F-Secure existieren noch immer 6000 erreichbare Server, die Saltstack mit der bestehenden Sicherheitslücke verwenden. Nutzen Sie Saltstack? Dann patchen Sie jetzt, das Saltstack Package Repo finden Sie hier. Bestenfalls lassen Sie automatische Sicherheitsupdates zu.