Sicherheitshinweise

Absicherung von Edge-To-Origin TLS

18. Februar 2016

Zusammenfassung


Wir haben ein Problem in unserer Standard-TLS-Konfiguration (Transport Layer Security) behoben, das eine ordnungsgemäße Zertifikat-Validierung bei der Verbindung zu Origin-Servern von Kunden verhinderte. Services, die nach dem 6. September 2015 erstellt wurden, waren nicht betroffen. Dieser Hinweis beschreibt das Problem, um unsere Kunden über die potenzielle Gefährdung, die von uns vorgenommene Korrektur und zusätzliche Verbesserungen zu informieren.


Der Schweregrad dieser Schwachstelle wurde von der Fastly Sicherheitsabteilung als HOCH eingestuft.




Auswirkungen


Wenn Sie dazu nicht sofort vom Fastly Customer Engineering kontaktiert wurden, brauchen Sie nichts zu unternehmen. Ihre Services sind geschützt.


TLS-Verbindungen, die Zertifikate nicht validieren, sind anfällig für Man-in-the-Middle-Angriffe (MITM). Dieses Verhalten wurde auf Verbindungen isoliert, die zwischen Fastly und den Origin-Servern des Kunden über HTTPS hergestellt wurden.


Fastly baut seine Points of Presence (POPs) an zentralen Internet-Peering-Standorten auf und ruft Inhalte von Origin-Servern über Provider-Netzwerke ab, die so nah wie möglich am Internet-Backbone liegen. Dies erschwert MITM-Angriffe, macht sie aber nicht unmöglich. BGP-Hijacking, DNS-Cache-Poisoning und Angriffe zur Injektion von bösartigem Traffic können in diesen Netzwerken immer noch vorkommen, daher bleibt die Zertifikat-Validierung eine wichtige Verteidigungstechnologie. Fastly hat die Zertifikat-Validierung für alle Kunden mit TLS-Origin-Servern, die diese Validierung unterstützen können, aktiviert. Alle Kunden mit Origin-Servern, die die Validierung aufgrund einer Fehlkonfiguration nicht unterstützen, wurden direkt kontaktiert. Unser Technikteam hat mit diesen Kunden zusammengearbeitet, um die Fehlkonfiguration zu korrigieren, bevor die Validierung für ihre Services aktiviert wurde.


Fastly hat aktiv mit Kunden zusammengearbeitet, die falsche TLS-Konfigurationen für den Origin-Server hatten, wie zum Beispiel Hostname-Unstimmigkeiten. Jetzt, da ein Großteil dieser Kunden ihre schwache Konfiguration korrigiert hat, veröffentlichen wir einen umfassenderen Sicherheitshinweis.




Einzelheiten


Clients, Edges und Origins




Fastly funktioniert wie ein Reverse-Caching-Proxy – wenn wir über HTTPS-Verbindungen sprechen, gibt es zwei Dinge zu beachten. Erstens: eine Verbindung vom Client-Browser zum Fastly Netzwerk (Client-to-Edge), um Inhalte anzufordern. Zweitens: wenn der Inhalt nicht im Cache zwischengespeichert ist, eine Anfrage an den Origin-Server des Kunden (Edge-to-Origin) zu senden.


Fastly unterstützt TLS für die Client-to-Edge-Verbindung und wir passen die Konfiguration routinemäßig an, um bewährte Verfahren anzuwenden und bekanntgegebenen Schwachstellen einen Schritt voraus zu sein. Zusätzlich zur Client-to-Edge-Verbindung unterstützt Fastly auch TLS für die Edge-to-Origin-Verbindung. Es war diese Edge-to-Origin-Komponente, die bei der Validierung von Zertifikaten nicht funktionierte.







Zertifikat-Validierung


TLS bietet neben Vertraulichkeit auch Authentifizierung. Als Teil des TLS-Handshakes bietet der Remote-Server ein X509-Zertifikat an, das einen Public Key mit einer Identität (und vor allem mit einem Domänennamen) verknüpft. Dies allein reicht nicht aus, um die Verbindung zu authentifizieren, da sich jeder für eine Identität ausgeben und seinen eigenen Public key bereitstellen kann. Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt sein, die prüft, ob die angegebene Identität stimmt.


Bei der Überprüfung unserer Edge-to-Origin-TLS-Konfiguration stellten wir fest, dass aufgrund eines Versehens beim Hinzufügen der TLS-Unterstützung zu Varnish die Zertifikatvalidierung nicht standardmäßig aktiviert war. Das bedeutet, dass der Hostname des Zertifikats von uns nicht validiert wurde oder wir nicht sichergestellt haben, dass es von einer vertrauenswürdigen CA ausgestellt wurde. TLS-Verbindungen, die Zertifikate nicht validieren, sind anfällig für Man-in-the-Middle-Angriffe (MITM).


Nachdem wir das Problem entdeckt hatten, begannen wir sofort mit der Triage und der Lösungsfindung. Leider wird die Behebung dadurch erschwert, dass unsere Zertifikatvalidierung dazu geführt hat, dass Konfigurationen von Origin-Servern, die eigentlich fehlerhaft sind, scheinbar funktionieren. Die Aktivierung einer sehr strikten Validierung für diese Services würde zu einem Ausfall führen. Die Behebung des Validierungsverhalten mit gleichzeitiger Vermeidung von Ausfällen erweist sich als wesentlich komplizierter als erwartet.




Fix/Behelfslösung


Um das Problem zu quantifizieren, haben wir bei jedem Origin-Server eine umfassende Überprüfung der TLS-Konfiguration durchgeführt, um Services zu finden, die bei aktivierter Validierung nicht mehr funktionieren würden. Anhand der Überprüfungsergebnisse haben wir eine Liste der korrekten und eine Liste der fehlerhaften Konfigurationen erstellt. Bei allen neuen Services und denen, die auf der Liste der korrekten Konfiguration stehen, ist die TLS-Validierung jetzt standardmäßig aktiviert. Unser Kundenservice hat alle Kunden mit Services, die auf der Liste der fehlerhaften Konfigurationen stehen, kontaktiert. Bei diesen Kunden muss die Konfiguration der Origin-Server geändert werden, bevor sie die Validierung unterstützen können. Um Kunden bei der Durchführung der erforderlichen Änderungen zu unterstützen, haben wir eine Dokumentation hinzugefügt, die häufig vorkommende TLS-Probleme bei Origin-Servern und deren Behebung beschreibt. Abgesehen davon, dass wir die Zertifikatvalidierung behoben haben, haben wir den Anlass wahrgenommen und unsere TLS-Unterstützung verbessert.




Weitere Informationen


TLS-Verbesserungen


Zusätzlich zur Behebung der Sicherheitslücke haben wir RC4-Chiffre-Suites abgeschafft und eine bessere Kontrolle über die Edge-to-Origin-TLS-Verbindungen ermöglicht. Um weitere Probleme proaktiv auszuschalten, haben wir unsere TLS-Konfiguration mit der Suite von TLS-Ausnahmefällen, die das fantastische TLS-O-Matic-Projekt anbietet, gründlich getestet. Die Notwendigkeit einer solchen Test-Suite verdeutlicht die Komplexität von TLS und die Schwierigkeiten, die Client-Software bei der sicheren Handhabung des Protokolls hat. Seitdem die Zertifikatvalidierung zur Standardoption gemacht wurde, besteht der Fastly TLS-Stack nun alle relevanten TLS-O-Matic Testfälle.


Wenn Sie Bedenken oder Fragen haben oder sicherstellen möchten, dass Ihre Origin-Systeme so sicher wie möglich konfiguriert sind, wenden Sie sich bitte an support@fastly.com. Für Schwachstellenberichte und Anfragen von Nutzern, die keine Kunden sind, wenden Sie sich bitte an security@fastly.com.

Melden Sie sich für die Sicherheitshinweise an.

Mit der Übermittlung Ihrer Anfrage erklären Sie sich damit einverstanden, dass Ihre personenbezogenen Daten zur Verarbeitung gemäß unserer Datenschutzrichtlinie an Fastly in den USA übermittelt werden.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.