Multi-Perspective Issuance Corroboration: Was ändert sich konkret?

Für TLS-Zertifikate (SC-067)

CAs müssen Domain Control Validation und Certificate Authority Authorization aus mindestens zwei Distinct Remote Network Perspectives durchführen, die geografisch mindestens 500 Kilometer voneinander entfernt sind. Die TLS Baseline Requirements wurden angepasst auf v2.0.5.

Stufenweise Erhöhung der Remote-Perspektiven:

• 15. September 2025: Mindestens 2 Remote-Perspektiven

• 15. März 2026: Mindestens 3 Remote-Perspektiven

• 15. Juni 2026: Mindestens 4 Remote-Perspektiven

• 15. Dezember 2026: Mindestens 5 Remote-Perspektiven

Für S/MIME-Zertifikate (SMC-010)

S/MIME-Zertifikate übernehmen die identischen MPIC-Anforderungen aus den TLS Baseline Requirements. Seit September 2024 prüft SwissSign auch CAA-Einträge bei E-Mail-Zertifikaten. Die S/MIME Baseline Requirements werden angepasst auf v1.0.8.

Handlungsbedarf für Zertifikatsnutzer

Betroffenheit: Niedrig

SwissSign-Kunden: Es sind keine Anpassungen erforderlich. MPIC ist eine CA-seitige Anforderung, die für Standard-Konfigurationen transparent funktioniert.

• Wenn Sie Standard-Netzwerkkonfigurationen verwenden: Keine Änderungen erforderlich.

• Wenn Sie IP-Whitelists für Validierungs-Server führen: Prüfen Sie, ob Zugriffe aus mehreren geografischen Regionen möglich sind.

• Wenn Sie Geo-Blocking oder geografisch eingeschränkte DNS-Auflösungen einsetzen: DNS-Records und HTTP-Validierungs-Endpunkte müssen aus mindestens zwei RIR-Regionen erreichbar sein. Risiko bei globaler Blockade ausser Heimatregion.

• Wenn Sie CAA Records verwenden: CAA-Lookups erfolgen nun aus mehreren Standorten – stellen Sie sicher, dass Ihre DNS-Infrastruktur global konsistente Antworten liefert.

Was Sie jetzt tun sollten

• Prüfen Sie Ihre Firewall-Regeln und IP-Whitelists – sind Validierungs-Anfragen aus mindestens zwei verschiedenen RIR-Regionen erlaubt?

• Testen Sie Ihre DNS-Auflösung von verschiedenen geografischen Standorten (Europa, Nordamerika, Asien) – liefert sie konsistente Ergebnisse?

• Falls Sie CDN oder DDoS-Protection einsetzen: Stellen Sie sicher, dass HTTP-01 ACME-Validierungen nicht geblockt werden.

Hintergrund zum Ballot: Schutz gegen BGP-Hijacking

Aktueller Stand: CAs validieren Domain Control traditionell von einem einzigen Netzwerk-Standort. Angreifer können durch lokalisierte BGP-Hijacks DNS-Antworten und Domain-Validierungen manipulieren, um unrechtmässig Zertifikate für fremde Domains zu erhalten.

Problem/Treiber: Dokumentierte Angriffe wie der KlaySwap-Incident (2022) und Celer Bridge-Hack (2022) zeigen, dass BGP-Hijacking eine reale Bedrohung darstellt. In beiden Fällen erlangten Angreifer durch manipuliertes Routing gültige SSL/TLS-Zertifikate für fremde Domains, mit denen sie anschliessend Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen durchführten. Das Resultat: Diebstahl von Kryptowährungen in Millionenhöhe.

Routing-Sicherheitsmechanismen wie RPKI schützen nur gegen globale BGP-Hijacks, nicht gegen lokal begrenzte, gleichwertig-spezifische Angriffe. Forschung von Princeton University demonstrierte die Praktikabilität solcher Angriffe und motivierte das CA/B Forum zum Handeln.

Kontext: Let's Encrypt und Google Trust Services setzen MPIC bereits im Millionen-Zertifikate-Massstab ein und demonstrieren die technische Machbarkeit.

Grundlagen zur Multi-Perspektiven-Validierung

Was ist Multi-Perspective Issuance Corroboration?

MPIC bedeutet, dass CAs Domain-Validierungen und CAA-Prüfungen von mehreren, geografisch und topologisch unterschiedlichen Netzwerk-Standorten durchführen müssen.

Funktionsweise:

• CA führt Validierung von ihrer primären Infrastruktur durch

• Mindestens zwei weitere Remote-Perspektiven (ab März 2026: mindestens drei, ab Juni 2026 mindestens vier, ab Dezember 2026 mindestens fünf) wiederholen die Validierung

• Remote-Perspektiven müssen geografisch mindestens 500 Kilometer entfernt sein

• Nur wenn alle Perspektiven übereinstimmen, wird das Zertifikat ausgestellt

Was ist ein BGP-Hijack?

Das Border Gateway Protocol (BGP) ist das Routing-Protokoll des Internets – es bestimmt, welchen Weg Datenpakete durch das Internet nehmen. Bei einem BGP-Hijack gibt ein Angreifer fälschlicherweise bekannt, dass er die beste Route zu einem bestimmten IP-Adressbereich kontrolliert. Andere Netzwerke glauben dieser Ankündigung und leiten Traffic zum Angreifer statt zum legitimen Ziel.

Wie BGP-Hijacking die Zertifikatsausstellung kompromittiert:

• CA will Domain "bank.example" validieren

• CA sendet DNS-Query: "Was ist die IP von bank.example?"

• Angreifer hat BGP-Hijack aktiviert → DNS-Query wird zum Angreifer umgeleitet

• Angreifer antwortet mit seiner eigenen kontrollierten IP-Adresse

• CA validiert die Domain erfolgreich... aber gegen die IP des Angreifers

• CA stellt Zertifikat für "bank.example" an den Angreifer aus

• Angreifer kann nun Man-in-the-Middle-Angriffe auf HTTPS-Verbindungen durchführen

Zwei Arten von BGP-Hijacks:

Globale Hijacks:

• Betreffen das gesamte Internet

• Sind relativ leicht zu erkennen (viele Netzwerke bemerken die Anomalie)

• RPKI-Validierung kann dagegen schützen

Lokalisierte Hijacks (die gefährlicheren):

• Betreffen nur begrenzte geografische Regionen

• Sehr schwer zu erkennen, da nur ein Teil des Internets betroffen ist

• RPKI hilft NICHT dagegen

• Genau gegen diese Art schützt MPIC effektiv

Reale Beispiele:

• KlaySwap-Incident (2022): Angreifer nutzten BGP-Hijacking, um TLS-Zertifikate für die Krypto-Plattform KlaySwap zu erhalten. Mit den gefälschten Zertifikaten führten sie Man-in-the-Middle-Angriffe durch und stahlen Kryptowährungen.

• Celer Bridge-Hack (2022): Ähnlicher Angriff auf eine Blockchain-Bridge. BGP-Hijacking ermöglichte die unrechtmässige Zertifikatsausstellung, gefolgt von Man-in-the-Middle-Angriffen auf verschlüsselte Verbindungen.

Was sind Network Perspectives?

Ein Network Perspective ist ein System oder eine Sammlung von Netzwerkkomponenten, das ausgehenden Internet-Traffic für Domain-Validierungen und CAA-Checks sendet. Die Position wird durch den Punkt bestimmt, an dem unverkapselter Traffic erstmals an die Internet-Infrastruktur übergeben wird.

Wichtig: Recursive DNS Resolver müssen verwendet werden – direkte Queries an Authoritative Name Server sind nicht zulässig.

Was ist ein Quorum-Modell?

Je nach Anzahl verwendeter Remote-Perspektiven erlaubt MPIC eine begrenzte Anzahl nicht übereinstimmender Ergebnisse:

• September 2025: 2 Remote-Perspektiven → einer muss mit Primary übereinstimmen

• März 2026: 3 Remote-Perspektiven → mindestens 2 müssen mit Primary übereinstimmen

• Juni 2026: 4 Remote-Perspektiven → mindestens 3 müssen mit Primary übereinstimmen

• Dezember 2026: 5 Remote-Perspektiven → mindestens 4 müssen mit Primary übereinstimmen

Konkrete Auswirkungen bei fehlerhaften Konfigurationen: Wenn mehrere Remote-Perspektive andere DNS-Records oder CAA-Einträge sieht als die Primary Perspective, wird die Zertifikatsausstellung abgelehnt. Dies schützt vor lokalen Angriffen, erfordert aber global konsistente DNS-Konfigurationen.

Häufige Fragen (FAQ)