Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

SSL-Vorfall: Gefälschtes Google-Zertifikat seit Mitte Juli 2011 im Umlauf

Der jüngste SSL-Vorfall hat weitreichende Konsequenzen. Mit einem gefälschten Google-Zertifikat sind Man-in-the-Middle-Angriffe auf Google-Nutzer möglich. Microsoft und Mozilla reagieren mit drastischen Schritten und entziehen der Ausgabestelle des gefälschten Zertifikats ihr Vertrauen.
/ Andreas Sebayang
15 Kommentare News folgen (öffnet im neuen Fenster)
Diginotar-Zertifikat unter Mac OS X (Bild: Golem.de)
Diginotar-Zertifikat unter Mac OS X Bild: Golem.de

Diginotar hat ein gefälschtes Zertifikat in Umlauf gebracht, das alle Subdomains von google.com betrifft. Das berichten übereinstimmend Microsoft im Security Advisory 2607712(öffnet im neuen Fenster) und Mozilla in seinem Security-Blog(öffnet im neuen Fenster). Auch Google bestätigt den Vorfall(öffnet im neuen Fenster). Laut Mozilla hat Diginotar das Zertifikat mittlerweile widerrufen. Da es aber bereits benutzt wurde, kann davon ausgegangen werden, dass es inzwischen Geschädigte gibt.

Nutzer von Windows Vista und 7 sowie den darauf aufbauenden Servervarianten werden mittlerweile automatisch geschützt, sofern die Zertifikatsüberprüfung durch Windows-Komponenten durchgeführt wird. Microsoft hat gleich das Diginotar-Root-Zertifikat von der Certificate Trust List entfernt. Für Windows XP und Windows Server 2003 wird es einen Patch geben.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Mozilla kann erst in Kürze reagieren

Mozilla plant ebenfalls in Kürze einen Patch für Firefox, Firefox Mobile, Thunderbird und Seamonkey, welches das gefälschte Zertifikat unbrauchbar macht. Aufgrund der Rapid-Release-Strategie werden dafür allein neun verschiedene Firefox-Versionen auf den aktuellen Stand gebracht. Auch hier wird das Diginotar-Root-Zertifikat deaktiviert.

Für die Zwischenzeit gibt es bei Mozilla eine Anleitung zur Löschung des Diginotar-Zertifikats(öffnet im neuen Fenster). Auch zahlreiche andere Softwarehersteller werden wohl in den nächsten Tagen und Wochen auf den Vorfall reagieren müssen. Auf die Nutzer kommt damit viel Arbeit zu: Sie müssen Patches einspielen und neue Programmversionen für Rechner, Smartphones und Tablets installieren.

Diginotars zu erwartende Verluste ohne Tragweite

Vasco Data Security International, Mutterkonzern der niederländischen Tochter Diginotar, hat mittlerweile eine offizielle Stellungnahme veröffentlicht(öffnet im neuen Fenster), in der sich die Firma äußert. Offenbar gab es einen Einbruch in die Certificate-Authority-Infrastruktur des Unternehmens. Dadurch wurden zusätzlich zu der Domain Google.com auch weitere Domains kompromittiert, indem gefälschte Zertifikate ausgestellt wurden. Welche Domains das sind, schreibt Vasco allerdings nicht. Die Firma betont, dass der Großteil der Zertifikatskunden nicht betroffen ist. Dazu gehören auch niederländische Regierungsseiten.

Vasco ist offenbar auch darüber besorgt, dass der eigene Ruf geschädigt werden könnte. In der Mitteilung versichert Vasco auch, dass das Geschäft von Diginotar nur minimale Auswirkungen auf zukünftige Einnahmen haben wird. Auch kommende Geschäftspläne werden nicht betroffen sein, versichert Vasco. In den ersten sechs Monaten hat Diginotar weniger als 100.000 Euro erwirtschaftet.

Der Iran soll hinter dem Vorfall stecken

Seth Schoen und Eva Galperin von der Electronic Frontier Foundation beschuldigen offen den Iran als Urheber des SSL-Problems(öffnet im neuen Fenster). Das Zertifikat wurde bereits am 10. Juli 2011 ausgestellt. Seitdem könnten insbesondere iranische Nutzer Angriffen ausgesetzt worden sein. Sie kritisieren zugleich das System der Certificate Authorities (CAs), das vor Jahrzehnten entwickelt wurde, und die zahlreichen Vorfälle in den vergangenen Jahren. Die EFF befürchtet, dass noch mehr gefälschte Zertifikate unentdeckt im Umlauf sind.

Die EFF will ein eigenes SSL Observatory(öffnet im neuen Fenster) in Zukunft betreiben, um solche Vorfälle zu entdecken. Zudem nennt die EFF Lösungsvorschläge für das in ihren Augen grundsätzliche Problem, wie das Firefox-Addon Https Everywhere(öffnet im neuen Fenster) oder das ähnliche Convergence(öffnet im neuen Fenster).

Das gefälschte Zertifikat wurde übrigens durch eine Chrome-Funktion entdeckt. Chrome benutzt HTTP Strict Transport Security(öffnet im neuen Fenster) mit einer Preloaded-HSTS-Liste, anhand derer der Browser Alarm schlägt, wenn ein Zertifikat von einer falschen Stelle ausgegeben wurde. Diese integrierte Liste in Chrome beinhaltet unter anderem die Google-Webseiten sowie fast zwei Dutzend weitere Webseiten. Einem iranischen Nutzer sind entsprechende Fehlermeldungen im Browser aufgefallen, von denen er dann berichtet hatte(öffnet im neuen Fenster). Offenbar wurde das gefälschte Zertifikat im Iran stundenweise bei Anwendern genutzt.

Nachtrag vom 31. August 2011, 12:14 Uhr

Opera-Nutzer seien vor derartigen Attacken geschützt, erklärte der norwegische Browserhersteller(öffnet im neuen Fenster). Der Browser Opera überprüft immer, ob Zertifikate widerrufen wurden und verwendet diese dann nicht weiter.

Zur Startseite 15 Kommentare

Relevante Themen

VerschlüsselungPolitikSecurityCybercrimeGoogleDatensicherheitZertifikat