Ab dem 01.01.2013 stellt T-Systems keine Zertifikate mit internen IP-Adressen oder lokalen Host-Namen mehr aus. T-Systems stellt mit dem PKI-Service ServerPass SSL/TLS Webserver-Zertifikate aus, die durch die Nutzung öffentlicher Root-Zertifikate in vielen aktuellen Applikationen und Betriebssystemen vertrauenswürdig sind. Die Ausstellung setzt einen Verifikationsprozess voraus, in dem unter anderem der CommonName (CN) in Form des FQDN (Fully Qualified Domain Name) geprüft wird. Zertifikate, die eine interne IP-Adresse aus dem reservierten Adressbereich oder einen lokalen Host-Namen beinhalten, können nicht über DNS aufgelöst werden und sind von der T-Systems Registrierungsstelle nicht vollständig verifizierbar.Dennoch ist solch ein ausgestelltes Zertifikat für jeden, dem es präsentiert wird, grundsätzlich vertrauenswürdig und könnte für Angriffsszenarien relativ leicht und mit großer Schadenswirkung missbraucht werden.Daher nehmen diese Zertifikate eine Sonderrolle ein und werden vom internationalen CA/Browserforum, vielen Certification Authorities und Sicherheitsexperten als sehr kritisch eingestuft und missbilligt.Worin besteht diese Bedrohung?Zertifikate für private IP-Adressen unterstützen besonders in großen Firmennetzen ein individuelles Routing. Daher werden in unterschiedlichen Netzen sehr oft die gleichen IP-Adressbereiche verwendet. Dies ist teilweise auch dadurch bedingt, dass Gerätehersteller bei Auslieferung ihrer Komponenten identische Adressen (z.B. 192.168.1.x) vorkonfiguriert haben.Außerdem sorgt in nahezu allen Firmen-Netzen ein sogenannter DNS-Suffix auf den Arbeitsplätzen dafür, dass beim Aufruf von z.B. https://mail in Wirklichkeit die Seite https://mail.example.com (steht exemplarisch für die jeweilige Firmen-Domäne) geladen wird. Ein Angreifer kann sich diese Umstände zu Nutze machen, indem er sich von einer vertrauenswürdigen Zertifizierungsstelle ein Zertifikat auf eine solche private/reservierte Adresse (technische Details: siehe RFC 5735 @ ietf.org) oder einen häufig verwendeten Namen ausstellen lässt. Dieses Zertifikat könnte er dann, entweder bei einem direkten Zugriff oder indirekt durch einen Trojaner, in einem fremden Netz zum Einsatz bringen und verschlüsselte Daten ausspähen oder auch abfangen. Das T-Systems Trust Center schließt sich der Einschätzung des Bedrohungspotenzials an und wird, auch im Sicherheitsinteresse seiner Kunden, ab dem 01.01.2013 keine Zertifikate mit internen IP-Adressen oder lokalen Host-Namen mehr ausstellen.
