Multi-Perspective Issuance Corroboration (MPIC) ist eine Sicherheitsverbesserung für die Ausstellung digitaler Zertifikate. Zertifizierungsstellen (CAs) müssen Domänenvalidierungen und CAA-Prüfungen (Certificate Authority Authorization) von mehreren geografisch und topologisch getrennten Netzwerkstandorten aus durchführen, anstatt nur von einem.
Dieser Ansatz soll das Risiko komplexer Angriffe – insbesondere des Border Gateway Protocol (BGP)-Hijackings – verringern, die herkömmliche Validierungsmethoden an einem einzelnen Standort manipulieren können.
IT-Experten sollten sich mit MPIC befassen, da es die Sicherheit und Vertrauenswürdigkeit digitaler Zertifikate, die zum Schutz von Websites, E-Mails und anderen Onlinediensten Ihrer IT-Infrastruktur verwendet werden, direkt beeinflusst.
MPIC erschwert es Angreifern erheblich, Netzwerkschwachstellen – wie BGP- oder DNS-Hijacking – auszunutzen, um sich Zertifikate für Domänen zu erschleichen, die sie nicht kontrollieren. MPIC hilft, Man-in-the-Middle-Angriffe, Datenschutzverletzungen und Vertrauensverlust in die digitale Präsenz Ihres Unternehmens zu verhindern.
Da MPIC zu einer Branchenanforderung wird, müssen IT-Teams sicherstellen, dass ihre Infrastruktur und Prozesse mit diesen neuen Validierungsstandards kompatibel sind, um die Compliance aufrechtzuerhalten und Serviceunterbrechungen zu vermeiden.
MPIC schützt die digitalen Ressourcen Ihres Unternehmens, stärkt Ihre Sicherheitslage und gewährleistet die Einhaltung der sich entwickelnden Best Practices der Branche.
Forschungsergebnisse und reale Vorfälle haben gezeigt, dass Angreifer Schwachstellen in der Routing-Infrastruktur des Internets (BGP) ausnutzen können, um Validierungsverkehr umzuleiten. Dadurch können Zertifizierungsstellen Zertifikate an Unbefugte ausstellen.
Diese Bedrohung wird auch als BGP-Hijacking, Prefix-Hijacking, Route-Hijacking oder IP-Hijacking bezeichnet. Dabei handelt es sich um die unrechtmäßige Übernahme von IP-Adressgruppen durch Manipulation von Internet-Routingtabellen mithilfe des Border Gateway Protocol (BGP).
72 % der Domänen waren anfällig für BGP-Subpräfix-Hijacking. Dadurch konnten Angreifer Validierungsverkehr umleiten und Zertifizierungsstellen (CAs) zur Ausstellung gefälschter Zertifikate verleiten.
70 % der Domänen waren anfällig für Same-Prefix-Angriffe, die es Angreifern ermöglichten, sich als legitime Netzwerke auszugeben.
Alle fünf führenden Zertifizierungsstellen erwiesen sich bereits vor den ersten Abwehrmaßnahmen als anfällig für BGP-basierten Zertifikatsbetrug, wie Ethical-Hacking-Experimente zeigten.
BGP-Hijacking-Vorfälle treten mit bemerkenswerter Häufigkeit auf und stellen nach wie vor eine anhaltende Bedrohung für die globale Internetsicherheit dar. Aktuelle Daten verdeutlichen die Häufigkeit dieser Vorfälle:
Diese Statistiken zeigen, dass BGP-Hijacking keine Seltenheit ist – Vorfälle passieren täglich und betreffen eine Vielzahl von Organisationen, darunter große Unternehmen wie MasterCard, Amazon und Google sowie nationale Telekommunikationsbetreiber. Die tatsächliche Zahl könnte sogar noch höher sein, da einige Ereignisse unentdeckt oder nicht gemeldet werden.
MPIC wird vom CA/Browser Forum (CABF) standardisiert und wird zur Voraussetzung für die Ausstellung öffentlich vertrauenswürdiger Zertifikate, einschließlich TLS- und bald auch S/MIME-Zertifikaten.
Große Zertifizierungsstellen wie Let’s Encrypt und Google Trust Services haben bereits MPIC-Formen implementiert, und die branchenweite Durchsetzung wird bis September 2025 erwartet.
Der DNS Certificate Authority Authorization (CAA)-Eintrag wurde 2013 eingeführt, um die unbefugte Ausstellung von Zertifikaten zu verhindern, und ist seit September 2017 für öffentliche Zertifizierungsstellen verpflichtend. Mit diesem Eintrag können Domäneninhaber angeben, welche Zertifizierungsstellen berechtigt sind, Zertifikate für ihre Domänen auszustellen. Dies trägt dazu bei, das Risiko von Missbrauch und Schatten-IT zu verringern.
Ist für eine Domäne kein CAA-Eintrag vorhanden, kann jede öffentliche Zertifizierungsstelle nach der vom CA/Browser-Forum vorgeschriebenen Standarddomänenvalidierung Zertifikate für diese Domäne ausstellen.
Ist jedoch ein CAA-Eintrag vorhanden, sind nur die im Eintrag explizit aufgeführten Zertifizierungsstellen berechtigt, Zertifikate für die Domäne auszustellen. Dies bietet eine wichtige Kontroll- und Sicherheitsebene.
| Feature | Traditional Validation | MPIC Validation |
| Validation Location | Single network point | Multiple, globally distributed points |
| Attack Resistance | Vulnerable to local BGP/DNS hijacks | Resistant to localized attacks |
| Industry Requirement | Optional/legacy | Becoming mandatory (CABF Ballot SC-067) |
| Certificate Issuance | Proceeds on single check | Requires corroboration from all perspectives |
Summary Table: MPIC vs. Traditional Validation
Multi-Perspective Issuance Corroboration (MPIC) ist ein anspruchsvolles Framework, das entwickelt wurde, um die Gültigkeit und Integrität des Informationsaustauschs über verschiedene Plattformen hinweg zu verbessern. Die primären Funktionen von MPIC konzentrieren sich auf drei Kernbereiche.
Verteilte Validierung
Wenn eine CA eine Anfrage zur Ausstellung eines Zertifikats erhält, muss sie die Domainkontrolle und CAA-Datensätze validieren, indem sie die Domain von mehreren unabhängigen, global verteilten Netzwerkstandorten abfragt.
Bestätigung
Die Ergebnisse dieser verschiedenen Standorte werden verglichen. Wenn alle Perspektiven konsistente Ergebnisse zurückgeben, wird die Validierung fortgesetzt. Wenn es Abweichungen gibt – zum Beispiel, wenn einige Standorte umgeleitet werden oder unterschiedliche DNS-Antworten erhalten, kann dies auf einen Angriff hindeuten, und die Zertifikatsausstellung wird gestoppt oder zur Überprüfung gekennzeichnet.
Minderung von BGP-Angriffen
BGP-Hijacks sind oft lokalisiert und betreffen nur Teile des Internets. Durch die Überprüfung aus mehreren Regionen macht MPIC es Angreifern erheblich schwerer, die CA zu täuschen, da ein Angriff global erfolgreich sein müsste und nicht nur lokal.
Die Implementierung der Multi-Perspective Issuance Corroboration (MPIC) bringt eine robuste Reihe von Sicherheitsvorteilen mit sich, die die Integrität der Zertifikatsausstellungsprozesse erheblich verbessern. Durch die Nutzung mehrerer unabhängiger Netzwerkperspektiven zur Validierung etabliert MPIC einen neuen Standard in der Zertifikatssicherheit, der verschiedene traditionelle Schwachstellen anspricht und die allgemeine Vertrauenswürdigkeit der Public Key Infrastructure stärkt.
Zusätzliche Sicherheitsvorteile:
Multi-Perspective Issuance Corroboration (MPIC) implementiert ein anspruchsvolles Validierungsframework, das mehrere Netzwerkperspektiven nutzt, um die Sicherheit und Authentizität der Zertifikatsausstellungsprozesse zu gewährleisten. Dieser verteilte Ansatz verbessert erheblich die Zuverlässigkeit der Domainvalidierung und hilft, verschiedene Formen von Netzwerkangriffen zu verhindern.
Hier ist eine detaillierte Übersicht darüber, wie MPIC funktioniert:
Wenn ein Zertifikat angefordert wird, muss die Zertifizierungsstelle (CA) die Domainkontrolle (Domain Control Validation, oder DCV) überprüfen und die Certificate Authority Authorization (CAA)-Datensätze kontrollieren.
Anstatt diese Prüfungen von einem einzigen Netzwerkstandort aus durchzuführen, verlangt MPIC von der CA, die gleiche Validierung von mehreren, geografisch und topologisch unterschiedlichen Punkten im Internet auszuführen.
Diese Standorte sind oft über verschiedene Regionen und Internetdienstanbieter (ISPs) verteilt, was es Angreifern erheblich erschwert, alle Perspektiven gleichzeitig zu manipulieren.
Jede entfernte Perspektive führt unabhängig die erforderlichen DCV- und CAA-Prüfungen durch.
Die CA vergleicht die Ergebnisse aus allen Perspektiven. Für einen erfolgreichen Validierungsprozess ist ein Quorum (Mindestanzahl) positiver, übereinstimmender Antworten erforderlich.
Wenn eine Perspektive die Validierung nicht besteht oder wenn Abweichungen vorliegen (z. B. unterschiedliche DNS-Datensätze), wird das Zertifikat von der CA nicht ausgestellt.
Jede Netzwerkperspektive muss topologisch unterschiedlich und unabhängig betrieben sein.
Die Perspektiven müssen über verschiedene autonome Systeme (AS) und Netzwerkprovider verteilt sein.
Die Validierungsinfrastruktur muss eine ordnungsgemäße Trennung zwischen unterschiedlichen Perspektiven aufrechterhalten, um gemeinsame Ausfälle zu verhindern.
Alle Perspektiven müssen ihre Prüfungen innerhalb eines festgelegten Zeitrahmens abschließen.
Die CA muss detaillierte Protokolle über alle Perspektivvalidierungen führen.
Wenn eine Perspektive Anomalien in den DNS-Datensätzen oder CAA-Überprüfungen feststellt, muss der gesamte Validierungsprozess neu initiiert werden.
Das System muss sicherstellen, dass zwischengespeicherte Ergebnisse nicht bei verschiedenen Validierungsversuchen wiederverwendet werden.
Alle Abweichungen zwischen den Ergebnissen der Perspektiven müssen dokumentiert und analysiert werden.
Die CA muss Überwachungssysteme implementieren, um Muster von Validierungsfehlern zu erkennen.
Fehlgeschlagene Validierungen müssen über geeignete Kanäle zur Sicherheitsanalyse gemeldet werden.
Wiederholungsmechanismen müssen mit angemessenen Abkühlungsphasen implementiert werden.
Die Domain Control Validation (DCV) ist ein wesentlicher Bestandteil des Zertifikatsausstellungsprozesses, und MPIC verbessert die Sicherheit dieser Validierungen durch die Anwendung seines multi-perspektivischen Ansatzes über alle standardisierten Validierungsmethoden hinweg. Durch die Implementierung von MPIC in verschiedenen DCV-Methoden stellen Zertifizierungsstellen sicher, dass die Validierung unabhängig von der gewählten Überprüfungstechnik konsistent und zuverlässig erfolgt. Diese umfassende Abdeckung stellt sicher, dass die Sicherheitsvorteile der multiperspektivischen Validierung in allen Szenarien der Zertifikatsausstellung aufrechterhalten werden.
Die DNS-basierte Domainvalidierung besteht typischerweise darin, eine spezifische Validierungszeichenfolge in einem DNS TXT-Datensatz zu platzieren. Alternativ kann ein DNS CNAME-Datensatz verwendet werden, um die Validierungsprüfungen auf einen vertrauenswürdigen Webserver umzuleiten, der von dem Zertifikatsantragsteller kontrolliert wird, was flexible und sichere Validierungsabläufe ermöglicht.
MPIC gilt für alle gängigen DCV-Methoden, einschließlich:
Dies sind alles gängige Validierungsmethoden, die den MPIC-Anforderungen unterliegen. Jede dieser Methoden profitiert von der zusätzlichen Sicherheitsschicht, die die multiperspektivische Validierung bietet.
Die Einführung der Multi-Perspective Issuance Corroboration (MPIC) erfolgt nach einem phasenweisen Implementierungszeitplan, der vom CA/Browser Forum und großen Browseranbietern festgelegt wurde, um Sicherheitsverbesserungen mit der operativen Machbarkeit in Einklang zu bringen. Dieser graduelle Ansatz ermöglicht es Zertifizierungsstellen (CAs) und vertrauenden Parteien, ihre Infrastruktur anzupassen, während die Stabilität der Zertifikatsausstellungsökosysteme aufrechterhalten wird. Der Durchsetzungsrahmen wurde formell in der Abstimmung SC067v3 (August 2024) ratifiziert und durch anschließende Beschlüsse des CAB Forums erweitert, wobei bis 2025 eine vollständige Einhaltung gemäß den aktualisierten Basisanforderungen erforderlich ist.
Berichtsphase (Januar 2024 – März 2025):
MPIC läuft im passiven Überwachungsmodus, wobei CAs verpflichtet sind, Validierungsabweichungen zu protokollieren, aber die Ausstellung nicht zu blockieren. Let’s Encrypt begann 2020 mit der frühen Implementierung als Proof-of-Concept (laut ihrem Blogbeitrag von 2020).
Durchsetzungsphase (31. März 2025 – laufend):
Nach der von Google vorgegebenen Frist müssen Zertifikate eine MPIC-Validierung von ≥3 unabhängigen Netzwerkperspektiven erfordern. Die vollständige Durchsetzung (≥5 Perspektiven) tritt am 15. September 2025 gemäß CAB-Forum-Resolution 2024-87 in Kraft.
Kulanzregelungen:
CAs dürfen bis Juni 2026 non-konforme Zertifikate für ≤5% des Gesamtvolumens ausstellen, um Legacy-Systeme zu berücksichtigen, wie im Dokument TLS CPS v6.1.0 von Sectigo angegeben.
Das ACME-Protokoll, das von Agenten wie Certbot und WinACME zur Automatisierung der Zertifikatsausstellung verwendet wird, konsultiert immer den DNS CAA-Datensatz, bevor es Zertifikate anfordert. Dies gilt unabhängig davon, ob die Zielzertifizierungsstelle öffentlich oder privat ist.
Wenn Zertifikate über ACME von einer privaten CA angefordert werden, muss der Hostname oder der vollständige Domänenname (FQDN) der CA im CAA-Datensatz der Domain enthalten sein. Dies stellt sicher, dass auch private CAs die CAA-Autorisierungspolitiken einhalten und die unbefugte Ausstellung von Zertifikaten verhindern.
Dieser Abschnitt umreißt die kritischen Zeitpläne für die Einhaltung der Standards der Multi-Perspective Issuance Corroboration (MPIC) sowie die Strategie zur Branchenakzeptanz.
MPIC stellt einen bedeutenden Fortschritt beim Schutz der digitalen Zertifikatsausstellung gegen aufkommende Bedrohungen auf Netzwerkebene dar.
Technische Anforderungen
Validierungs Perspektiven:
Auswirkungen auf Organisationen
Vorbereitung: Unternehmen müssen sicherstellen, dass ihre DNS-, HTTP- und E-Mail-Systeme von verschiedenen globalen Netzwerken aus zugänglich sind, um Validierungsfehler zu vermeiden.
Keine rückwirkenden Änderungen: Zertifikate, die vor dem 18. Februar 2025 ausgestellt wurden, bleiben bis zur Ablaufdatum gültig.
Zukünftige Entwicklungen
Standardisierung: MPIC wird in den Richtlinien des CA/Browser Forums kodifiziert, mit laufenden Aktualisierungen für aufkommende Bedrohungen.
Breitere Anwendungen: Über TLS und S/MIME hinaus könnte das MPIC-Framework auch andere PKI-abhängige Systeme (z. B. IoT, Code-Signing) sichern.
Wichtiges Fazit: MPIC ist nicht nur ein technisches Upgrade, sondern ein systemischer Wandel in der Zertifikatssicherheit, der proaktive Anpassungen von IT-Teams erfordert, um die Einhaltung aufrechtzuerhalten und zunehmend ausgeklügelte Angriffe auf Netzwerkebene abzuwehren.
Es ist entscheidend, dass alle öffentlich zugänglichen DNS-Server, die von einer Organisation betrieben werden, ordnungsgemäß synchronisiert sind. Ohne enge Synchronisation könnten öffentliche Zertifikatsanfragen ab September 2025 aufgrund der Durchsetzung der Anforderungen der Multi-Perspective Issuance Corroboration (MPIC) fehlschlagen.
Abweichungen in DNS-Daten zwischen Servern, einschließlich CAA-Datensätze und DNS-Einträge zur Domainvalidierung, stellen ein erhebliches Risiko für den Zertifikatsausstellungsprozess dar. Organisationen müssen sicherstellen, dass DNS-Datensätze konsistent und zeitnah über alle Server weltweit aktualisiert werden, um Validierungsfehler und eine Ablehnung der Zertifikatserteilung zu verhindern.
Es sei darauf hingewiesen, dass Zertifikatsmanagementsysteme wie KeyTalk CKMS PKI X.509-Zertifikate von großen öffentlichen Zertifizierungsstellen wie DigiCert und GlobalSign anfordern können und daher den Anforderungen von MPIC und DNS-Synchronisation unterliegen.
Organisationen, die mehrere DNS-Server betreiben, insbesondere solche, die geografisch über Regionen wie Europa und Asien verteilt sind, müssen sicherstellen, dass CAA-Datensätze und andere DNS-Einträge, die für die Domainvalidierung verwendet werden, vollständig synchronisiert sind und konsistente, niedrige TTL (Time To Live)-Werte aufweisen. Ein TTL von 300 Sekunden (5 Minuten) oder weniger wird empfohlen, um Verbreitungsverzögerungen zu minimieren und Inkonsistenzen zu verhindern, die zu Validierungsfehlern führen können.
Ohne eine solche Synchronisation kann es zu Unterschieden in DNS-Datensätzen an verschiedenen Standorten kommen, was zu fehlgeschlagenen Zertifikatserteilungen führen kann, da multiperspektivische Validierungen Abweichungen feststellen und den Prozess stoppen könnten.
Zum Beispiel sollte ein DNS-Datensatz für “domain.com” in allen Regionen identisch sein, in denen DNS-Server betrieben werden, wie in Europa und Asien, um konsistente Validierungsergebnisse während der multiperspektivischen Prüfungen sicherzustellen.
Wenn DNS-Datensätze inkonsistent oder nicht zwischen diesen mehreren Servern synchronisiert sind, erhöht sich die Wahrscheinlichkeit erheblich, dass öffentliche Zertifizierungsstellen Zertifikatsanfragen ablehnen.
In diesem Blogbeitrag haben wir einen detaillierten Überblick über die Multi-Perspective Issuance Corroboration (MPIC) gegeben, einen bevorstehenden Standard für die digitale Zertifikatsausstellung, der entwickelt wurde, um die Sicherheit gegen ausgeklügelte Angriffe auf Netzwerkebene wie BGP-Hijacking zu verbessern.
Die wichtigsten Punkte sind:
Fazit: MPIC stellt einen grundlegenden Wandel in der Sicherheit digitaler Zertifikate dar. IT-Teams und Organisationen müssen proaktiv Maßnahmen ergreifen, um ihre Systeme an die MPIC-Standards anzupassen und einen robusten Schutz gegen aufkommende Sicherheitsbedrohungen zu gewährleisten sowie mit den besten Praktiken der Branche in Einklang zu stehen.
Möchten Sie mehr darüber erfahren, wie KeyTalk Ihrer Organisation bei MPIC helfen kann? Bitte kontaktieren Sie uns, und wir werden die Herausforderungen und möglichen Lösungen besprechen.
Das KeyTalk-Team
