Security-Spezialist warnt vor Lync-Problem
Die Internet Security-Spezialisten der PSW Group machen auf ein verbreitetes Problem bei Unified Communications mit dem Microsoft Lync Server aufmerksam.
Die in Fulda ansässige PSW Group weist auf ein weit verbreitetes Problem bei Microsoft Lync Server hin: Wird bei UC-Zertifikaten die Datenübermittlung mit dem AddTrust Root-Zertifikat von Comodo abgesichert, stuft der Server das Zertifikat als nicht vertrauenswürdig ein.
Die Ursache für das Problem liegt im TLS/SSL-Handshake-Prozess. Hierbei sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Letzterer verwendet diese Liste dazu, um ein Clientzertifikat auszuwählen, das vom UC-Server als vertrauenswürdig eingestuft wird, so dass eine sichere TLS-Verbindung zwischen Client und Server aufgebaut werden kann.
»Allerdings ist die Liste, die der Microsoft Lync Server bei der Client-Authentifizierungsanfrage übermittelt, zu lang. Das heißt, der Server vertraut derzeit einfach zu vielen Zertifizierungsstellen«, führt PSW-Geschäftsführer Christian Heutger aus. Der SSL-Header wird dadurch so sehr aufgebläht, dass der Handshake nicht mehr fehlerfrei abgewickelt werden kann. Die Folge: Das AddTrust Root-Zertifikat von Comodo wird fälschlicherweise als nicht vertrauenswürdig eingestuft.
Das Problem kann laut Microsoft umgangen werden, indem server-seitig die Liste der vertrauenswürdigen Stammzertifikate durch manuelles Entfernen einiger Zertifizierungsstellen verkleinert oder aber die Liste während des Handshakes nicht mehr gesendet wird. Auf der Client-Seite können die Gruppenrichtlinien so konfiguriert werden, dass die vom Server übermittelte Liste der vertrauenswürdigen Zertifizierungsstellen ignoriert wird.
