NEWS: Warum Sie S/MIME automatisieren sollten
News & Events

Neue Untersuchungen zur EV SSL-Sicherheit von Georgia Tech: EV-Domains sind zu 99,99% frei von Online-Kriminalität

by 10. September 2019

Heute haben wir neue Forschungsergebnisse vom Cyber ​​Forensics Innovation (CyFI) Lab von Georgia Techzum Thema Extended Validation (EV) SSL und kriminelle Online-Akteure gesehen. Das CyFI-Labor sammelte die Domänennamen von 2,6 Millionen EV-Zertifikaten aus dem Jahr 2010 und verglich sie mit einer Reihe von Quellen, die bekannte oder vermutete schlechte Akteure identifizierten. Diese Quellen enthielten Domains, die im Zusammenhang stehen mit:

  • Unterirdische Marktplätze und Foren
  • Schlechte IP-Blacklists
  • Malware

Diese Untersuchung, die durch einen finanziellen Beitrag von Sectigo ermöglicht wurde, ergab, dass 99,99% der Domains mit EV-Zertifikaten keine Assoziation mit den oben identifizierten Domains mit schlechten Akteuren aufweisen. In seinem Forschungsbericht sagt das Forschungsteam:

„Die Wahrscheinlichkeit, dass ein EV-SSL-Zertifikat mit fehlerhaften Domains in Verbindung gebracht wird, beträgt weniger als 0,00013 oder weniger als 0,013%. Das bedeutet, dass EV-SSL-Zertifikate höchstwahrscheinlich nicht mit Domains verknüpft sind, die mit Untergrundforen und -marktplätzen oder Malware- / Cybercrime-Aktivitäten in Verbindung stehen. “

Da einige Malware-Programme aus funktionalen Gründen beliebte Websites anpingen, die von der Malware-Aktivität völlig unabhängig und unschuldig sind, kann diese Zahl im Hinblick auf den Grad der Sicherheit, den ein EV-Zertifikat bietet, pessimistisch sein. Die von CyFI gefundene Malware-Liste enthält beispielsweise Domänen von Apple, Symantec, Comodo und Citrix. Es ist sehr unwahrscheinlich, dass diese Unternehmen schlechte Schauspieler sind, sondern dass die Malware-Autoren diese Websites aus anderen Gründen vollständig berühren.

Unter den 2,6 Millionen bewerteten EV-Domains entdeckte CyFI insgesamt drei Domains mit EV-Zertifikaten, die Cyber-Akteuren zugeordnet sind, die auf unterirdischen Marktplätzen und Foren aktiv verfolgt werden, sowie sieben Cyber-Akteuren, die mit ihnen verbunden sind. Die Beschreibung enthält Details zu diesen Domänen und Akteuren.

Das Forschungsteam schreibt: „Wir haben festgestellt, dass die Wahrscheinlichkeit, dass eine Domain mit einem EV-Zertifikat missbraucht oder mit Cyberkriminalität in Verbindung gebracht wird, vernachlässigbar ist Mit Internetkriminalität oder Missbrauch. “Der Abschnitt mit der Zusammenfassung des Papiers fügt hinzu:„ Wir kommen zu dem Schluss, dass EV-Zertifikate in hohem Maße auf legitime Domains hinweisen, die von legitimen Unternehmen registriert wurden. Daher profitieren Benutzer davon, wenn sie die Sicherheitsindikatoren des Browsers als Leitfaden für das Vertrauen in Domänen mit EV-SSL-Zertifikaten bemerken und verwenden. “

Das CyFI-Team hat vorgeschlagen, weitere Untersuchungen zu diesem Thema durchzuführen, einschließlich der Unterschiede zwischen Domänen, die von Cyber-Akteuren eingerichtet wurden und deren Eigentümer sind, und solchen, die aufgrund von Missbrauch kompromittiert wurden. CyFI möchte auch untersuchen, wie Browser diese Informationen besser nutzen können, um dem Endbenutzer den Grad der bekannten Legitimität für eine bestimmte Site auf eine Weise mitzuteilen, die eine sicherere Entscheidungsfindung ermöglicht.

Sectigo möchte das CyFI und alle anderen akademischen und White Hat-Forscher ermutigen, sich weiterhin mit diesem Thema zu befassen. Das Unternehmen arbeitet nachdrücklich mit White Hat zusammen, um einen entscheidenden Beitrag zur allgemeinen Internetsicherheit zu leisten. Wir ermutigen jeden White Hat, der mit Secorio zusammenarbeiten möchte, potenzielle Exploits in unserer globalen PKI-Infrastruktur zu identifizieren und zu beheben, sich an uns zu wenden. Sie können uns persönlich kontaktieren – wir werden im Anschluss in Zusammenarbeit mit Sectigo mit Ihnen die wichtigsten Punkte für eine Zusammenarbeit erarbeiten.

Tags: