Das von der Website des US-Berufungsgerichts verwendete DigiCert-Zertifikat ist am 5. Januar 2019 abgelaufen und wurde nicht erneuert. Die Website enthält Links zum Dokumentenablagesystem und zu PACER (System des öffentlichen Zugangs zu elektronischen Gerichtsakten).Laut einer Netcraft-
Studie wurden Dutzende von Standorten der US-Regierung während der laufenden Schließung des Bundes entweder unsicher oder unzugänglich. Darunter befinden sich wichtige Zahlungsportale und Fernzugriffsdienste, die von der NASA, dem US-Justizministerium und dem Berufungsgericht genutzt werden.
Derzeit befinden sich rund 400.000 Bundesangestellte in Zwangsurlaub. Daher ist es nicht verwunderlich, dass sich niemand die Mühe gemacht hat, mehr als 80 TLS-Zertifikate an Regierungsstandorten in der .gov-Zone zu erneuern. Die Situation wird durch die Tatsache verschärft, dass einige dieser verlassenen Sites aufgrund der strengen HSTS-Sicherheitsrichtlinie, die vor dem Herunterfahren implementiert wurde, nicht mehr zugänglich waren.
Ein Beispiel ist
https://ows2.usdoj.gov , die Website des US-Justizministeriums. Sein Zertifikat ist eine Woche vor dem Herunterfahren abgelaufen. Das Zertifikat wurde von einer vertrauenswürdigen GoDaddy-Zertifizierungsstelle signiert, wurde jedoch seit seinem Ablauf am 17. Dezember 2018 nicht aktualisiert.
Alle Subdomains des US-Justizministeriums fallen unter die HSTS-Richtlinie. In Kombination mit einem abgelaufenen TLS-Zertifikat verhindert dies derzeit, dass Benutzer Warnungen ignorieren und sich bei der Site anmelden.Die usdoj.gov-Domain und alle ihre Subdomains sind in
der HSTS Chromium-Preload-Liste enthalten . Dies ist eine angemessene Sicherheitsmaßnahme, die moderne Browser dazu zwingt, beim Zugriff auf die Websites des Justizministeriums nur sichere, verschlüsselte Protokolle zu verwenden. Gleichzeitig wird der Zugriff blockiert, wenn ein abgelaufenes Zertifikat entdeckt wird. In diesen Fällen verbergen moderne Browser wie Google Chrome und Mozilla Firefox absichtlich eine erweiterte Option, mit der der Benutzer die Warnung umgehen und zur Website wechseln kann.
In Anbetracht der bedauernswerten Situation glauben Netcraft-Experten, dass Sie immer noch zwischen Benutzerfreundlichkeit und Sicherheit die zweite wählen sollten, wenn Sie nicht beides bekommen können. Wenn Benutzer die Möglichkeit hätten, solche Warnungen zu ignorieren, wären sie anfällig für Angriffe wie MiTM, mit denen TLS-Zertifikate umgehen sollen.
Die richtige HSTS-Richtlinie ist jedoch nur auf wenigen .gov-Sites konfiguriert. Sie werden in der HSTS-Preload-Liste angezeigt, und der Rest versucht, die Richtlinie über den HTTP-Header "Strict-Transport-Security" festzulegen. Eine solche Richtlinie wird nicht mit einem abgelaufenen Zertifikat ausgeführt. Sie ist nur wirksam, wenn der Benutzer bereits zuvor Websites besucht hat.
Daher wird auf den meisten betroffenen Websites eine Sicherheitswarnung angezeigt, die der Benutzer umgehen kann, schreibt Netcraft: "Dies führt zu einigen Sicherheitsproblemen, da Benutzer diese Sicherheitswarnungen eher ignorieren und anfällig für Angriffe wie MiTM werden."
Diese NASA-Site verwendet immer noch ein abgelaufenes Zertifikat, aber die Domain ist nicht auf der vorläufigen Liste von HSTS. Somit können Benutzer Browser-Warnungen ignorieren und zur Site gehenBeispielsweise ist die Domain
https://rockettest.nasa.gov/ nicht in der HSTS-Preload-Liste enthalten, und das Zertifikat ist am 5. Januar 2019 abgelaufen.
Ein weiteres Beispiel zeigt die potenzielle Gefahr des Ignorierens von Browser-Sicherheitswarnungen. Das Berkeley Lab-Site-Zertifikat
https://d2l.lbl.gov ist am 8. Januar 2019 abgelaufen (obwohl das Berkeley Lab nicht vom Herunterfahren betroffen ist) und wurde noch nicht ersetzt. Da es keine wirksame HSTS-Richtlinie gibt, können Benutzer Browserwarnungen ignorieren und zum Anmeldeformular wechseln. In diesem Beispiel wird der Benutzer durch Klicken neben der Adressleiste des Browsers ausdrücklich darauf hingewiesen, keine vertraulichen Informationen auf der Seite zu hinterlassen.
Die Schließung der Regierung war auf die hartnäckige Position der beiden Seiten in der amerikanischen politischen Szene zurückzuführen. Präsident Donald Trump will mit Mexiko keine Kompromisse eingehen, und die Demokraten lehnen es ab, ein Budget von 5,7 Milliarden US-Dollar für den Bau der Mauer zu genehmigen. Wenn die Abschaltung andauert und die Mitarbeiter des Bundes im Urlaub bleiben, sind in naher Zukunft möglicherweise noch mehr Regierungsstandorte aufgrund abgelaufener TLS-Zertifikate nicht verfügbar.