Unified Communications: Security-Spezialist warnt vor Lync-Problem

Die Internet Security-Spezialisten der PSW Group machen auf ein verbreitetes Problem bei Unified Communications mit dem Microsoft Lync Server aufmerksam.

PSW-Geschäftsführer Christian Heutger: »Der Server vertraut einfach zu vielen Zertifizierungsstellen«. (Foto: PSW)

Die in Fulda ansässige PSW Group weist auf ein weit verbreitetes Problem bei Microsoft Lync Server hin: Wird bei UC-Zertifikaten die Datenübermittlung mit dem AddTrust Root-Zertifikat von Comodo abgesichert, stuft der Server das Zertifikat als nicht vertrauenswürdig ein.

Die Ursache für das Problem liegt im TLS/SSL-Handshake-Prozess. Hierbei sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Letzterer verwendet diese Liste dazu, um ein Clientzertifikat auszuwählen, das vom UC-Server als vertrauenswürdig eingestuft wird, so dass eine sichere TLS-Verbindung zwischen Client und Server aufgebaut werden kann.

»Allerdings ist die Liste, die der Microsoft Lync Server bei der Client-Authentifizierungsanfrage übermittelt, zu lang. Das heißt, der Server vertraut derzeit einfach zu vielen Zertifizierungsstellen«, führt PSW-Geschäftsführer Christian Heutger aus. Der SSL-Header wird dadurch so sehr aufgebläht, dass der Handshake nicht mehr fehlerfrei abgewickelt werden kann. Die Folge: Das AddTrust Root-Zertifikat von Comodo wird fälschlicherweise als nicht vertrauenswürdig eingestuft.

Das Problem kann laut Microsoft umgangen werden, indem server-seitig die Liste der vertrauenswürdigen Stammzertifikate durch manuelles Entfernen einiger Zertifizierungsstellen verkleinert oder aber die Liste während des Handshakes nicht mehr gesendet wird. Auf der Client-Seite können die Gruppenrichtlinien so konfiguriert werden, dass die vom Server übermittelte Liste der vertrauenswürdigen Zertifizierungsstellen ignoriert wird.