Abo
  • Services:
Anzeige
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

Anzeige

Die Ausstellung von falschen Google-Zertifikaten durch die chinesische Zertifizierungsstelle CNNIC (China Internet Network Information Center) hat Konsequenzen. Wie Google-Entwickler Adam Langley in einem Blog-Eintrag erklärt, werden künftige Versionen von Chrome neue Zertifikate von CNNIC nicht mehr akzeptieren. Für eine Übergangsphase werden bestehende Zertifikate jedoch weiter akzeptiert. CNNIC bekommt die Chance, sich für eine erneute Aufnahme in den Chrome-Browser zu bewerben, dafür müssen sie allerdings das System Certificate Transparency umsetzen.

Man-in-the-Middle-Proxy mit Zwischenzertifikat von CNNIC

Der Hintergrund: Wie vergangene Woche bekannt wurde, hatte eine ägyptische Firma namens MCS Holdings von CNNIC ein TLS-Zwischenzertifikat erhalten und damit unberechtigterweise Zertifikate für diverse Domains, unter anderem von Google, ausgestellt. Offenbar nutzte MCS Holdings das Zwischenzertifikat für einen sogenannten Man-in-the-Middle-Proxy, der nur intern eingesetzt wurde. Da Google die Zertifikate für seine eigenen und einige andere wichtige Domains durch im Browser voreingestelltes Key Pinning schützt, fiel dies auf.

Bei Google hat man sich offenbar entschlossen, bei derartigem Fehlverhalten von Zertifizierungsstellen hart durchzugreifen. Künftige Versionen von Chrome werden dem Root-Zertifikat von CNNIC nicht mehr vertrauen. Für eine Übergangsphase will Google bereits bestehenden Zertifikaten von CNNIC weiterhin vertrauen. Um für Transparenz zu sorgen, wird eine Liste der bestehenden Zertifikate, denen Chrome anhand einer Whitelist vertraut, veröffentlicht.

CNNIC ist eine chinesische Organisation, die dem dortigen Informationsministerium unterstellt ist. Die Aufnahme in die Browser vor einigen Jahren war nicht unumstritten, insbesondere bei Mozilla gab es Vorbehalte. CNNIC reagierte auf die Google-Entscheidung mit einer sehr kurzen Stellungnahme, in der die Google-Entscheidung als inakzeptabel und unverständlich beschrieben wird.

Mozilla denkt ebenfalls über Konsequenzen nach

Auf einer Mailingliste von Mozilla gab es ebenfalls eine heftige Debatte über den Umgang mit CNNIC. Mozilla-Entwickler Richard Barnes schlägt dort vor, neue Zertifikate von CNNIC ab einem bestimmten Datum nicht mehr zu akzeptieren. Die Auswirkungen wären also ähnlich wie die des Google-Plans. CNNIC solle die Chance erhalten, sich erneut für die Aufnahme zu bewerben.

Auch Google will CNNIC die Möglichkeit lassen, erneut in den Chrome-Browser aufgenommen zu werden. Um dafür zu sorgen, dass derartige Vorfälle in Zukunft unterbleiben, soll CNNIC das System Certificate Transparency umsetzen.

Certificate Transparency soll Zertifizierungsstellen zu Transparenz zwingen

Certificate Transparency ist ein System, bei dem sämtliche Zertifikate, die von Zertifizierungsstellen ausgestellt werden, in öffentlichen Logs hinterlegt werden. Dieses Log ist kryptographisch so abgesichert, dass die Korrektheit überprüft werden kann. Ein nachträgliches Ändern von Einträgen ist nicht möglich, ohne dass es auffällt. Das System ähnelt der Bitcoin-Blockchain. Google plant langfristig, dass alle Zertifizierungsstellen ihre Zertifikate über Certificate Transparency hinterlegen müssen. Demnächst soll dies vorläufig für sogenannte Extended-Validation-Zertifikate passieren.

Googles hartes Vorgehen gegen CNNIC kommt für viele überraschend, wird aber überwiegend begrüßt. In der Vergangenheit war es häufig so, dass das Fehlverhalten von Zertifizierungsstellen praktisch keine Konsequenzen hatte. Nach diversen Vorfällen bei Comodo im Jahr 2011 sagte der Kryptographie-Experte Moxie Marlinspike zynisch, das Einzige, was Comodo nach diesen Vorfällen passierte, sei gewesen, dass der Comodo-CEO auf der RSA-Konferenz zum CEO des Jahres ernannt wurde.

Google drängt auf Einhaltung von Sicherheitsstandards

Das Vorgehen gegen CNNIC ist ein weiteres Zeichen dafür, dass Google gegenüber den Zertifizierungsstellen künftig stärker auf die Einhaltung von Sicherheitsstandards drängen will. Das deutete sich bereits an, als Google vor einigen Monaten entschied, künftig die Nutzung von sicheren Hash-Funktionen bei der Zertifikatsausstellung zu verlangen und vor problematischen SHA-1-Signaturen zu warnen. Darüber waren viele Zertifizierungsstellen alles andere als glücklich, sie hatten mehrfach bereits bestehende Zeitpläne verworfen und die Umstellung immer weiter verzögert.

Nachtrag vom 3. April 2015, 7 Uhr

Mozilla hat nach einer ausführlichen Diskussion nun ebenfalls beschlossen, das CNNIC-Zertifikat aus dem Browser zu entfernen. Firefox wird jedoch vorläufig Zertifikate weiterhin akzeptieren, die vor dem 1. April 2015 erstellt wurden. Da das Datum in einem Zertifikat theoretisch auch falsch gesetzt werden kann, hat Mozilla CNNIC um eine Liste aller gültigen Zertifikate gebeten. Sollten zusätzliche Zertifikate mit einem Erstellungsdatum vor dem 1. April auftauchen, behält Mozilla sich weitere Schritte vor.


eye home zur Startseite
Niantic 03. Apr 2015

Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca...

DerVorhangZuUnd... 02. Apr 2015

Hahahhahahahha.... auf dem Boden roll... zusammenbrech... 1. April ist doch schon rum. Oder?



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt, Berlin
  2. über Ratbacher GmbH, Raum Minden (Home-Office möglich)
  3. über JobLeads GmbH, München
  4. gkv informatik, Wuppertal


Anzeige
Top-Angebote
  1. 198,00€
  2. 21,50€ (ohne Prime bzw. unter 29€-Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Dobrindt

    Strengere Vorschriften für Drohnen und Modellflugzeug-Flüge

  2. Europa

    Deutschland bei Internet für Firmen nur Mittelmaß

  3. Missglücktes Update

    Vodafone schießt persönliche Router-Einstellungen ab

  4. Smartphones

    Textnachricht legt iPhone zeitweise lahm

  5. Bestechungsvorwürfe

    Kein Haftbefehl gegen Samsung-Chef

  6. Nintendo

    Fire Emblem erscheint für Mobilgeräte und Switch

  7. Fujifilm

    Neue Sensoren und besserer Autofokus für X-Kameras

  8. Streaming

    Netflix zeigt Rekordwachstum

  9. Messsucherkamera

    Leica M10 schrumpft trotz Vollformatsensor

  10. Halo Wars 2 angespielt

    Mit dem Warthog an die Strategiespielfront



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  2. Steadicam Volt Steadicam-Halterung für die Hosentasche
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Lüftungslöcher entscheidend

    peterwahn | 11:38

  2. Re: Das macht der doch...

    neocron | 11:35

  3. Re: Da wird wohl die Serien-Qualität auf "Gute...

    mnementh | 11:35

  4. Re: Begriffe

    ino-fb | 11:34

  5. Direkt mal testen....

    CodySmalls | 11:33


  1. 11:51

  2. 11:43

  3. 11:28

  4. 11:13

  5. 10:58

  6. 10:43

  7. 09:35

  8. 09:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel