Diginotars zu erwartende Verluste ohne Tragweite

Vasco Data Security International, Mutterkonzern der niederländischen Tochter Diginotar, hat mittlerweile eine offizielle Stellungnahme veröffentlicht, in der sich die Firma äußert. Offenbar gab es einen Einbruch in die Certificate-Authority-Infrastruktur des Unternehmens. Dadurch wurden zusätzlich zu der Domain Google.com auch weitere Domains kompromittiert, indem gefälschte Zertifikate ausgestellt wurden. Welche Domains das sind, schreibt Vasco allerdings nicht. Die Firma betont, dass der Großteil der Zertifikatskunden nicht betroffen ist. Dazu gehören auch niederländische Regierungsseiten.

Vasco ist offenbar auch darüber besorgt, dass der eigene Ruf geschädigt werden könnte. In der Mitteilung versichert Vasco auch, dass das Geschäft von Diginotar nur minimale Auswirkungen auf zukünftige Einnahmen haben wird. Auch kommende Geschäftspläne werden nicht betroffen sein, versichert Vasco. In den ersten sechs Monaten hat Diginotar weniger als 100.000 Euro erwirtschaftet.

Der Iran soll hinter dem Vorfall stecken

Seth Schoen und Eva Galperin von der Electronic Frontier Foundation beschuldigen offen den Iran als Urheber des SSL-Problems. Das Zertifikat wurde bereits am 10. Juli 2011 ausgestellt. Seitdem könnten insbesondere iranische Nutzer Angriffen ausgesetzt worden sein. Sie kritisieren zugleich das System der Certificate Authorities (CAs), das vor Jahrzehnten entwickelt wurde, und die zahlreichen Vorfälle in den vergangenen Jahren. Die EFF befürchtet, dass noch mehr gefälschte Zertifikate unentdeckt im Umlauf sind.

Die EFF will ein eigenes SSL Observatory in Zukunft betreiben, um solche Vorfälle zu entdecken. Zudem nennt die EFF Lösungsvorschläge für das in ihren Augen grundsätzliche Problem, wie das Firefox-Addon Https Everywhere oder das ähnliche Convergence.

Das gefälschte Zertifikat wurde übrigens durch eine Chrome-Funktion entdeckt. Chrome benutzt HTTP Strict Transport Security mit einer Preloaded-HSTS-Liste, anhand derer der Browser Alarm schlägt, wenn ein Zertifikat von einer falschen Stelle ausgegeben wurde. Diese integrierte Liste in Chrome beinhaltet unter anderem die Google-Webseiten sowie fast zwei Dutzend weitere Webseiten. Einem iranischen Nutzer sind entsprechende Fehlermeldungen im Browser aufgefallen, von denen er dann berichtet hatte. Offenbar wurde das gefälschte Zertifikat im Iran stundenweise bei Anwendern genutzt.

Nachtrag vom 31. August 2011, 12:14 Uhr

Opera-Nutzer seien vor derartigen Attacken geschützt, erklärte der norwegische Browserhersteller. Der Browser Opera überprüft immer, ob Zertifikate widerrufen wurden und verwendet diese dann nicht weiter.