Abo
  • Services:
Anzeige
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

Anzeige

Die Ausstellung von falschen Google-Zertifikaten durch die chinesische Zertifizierungsstelle CNNIC (China Internet Network Information Center) hat Konsequenzen. Wie Google-Entwickler Adam Langley in einem Blog-Eintrag erklärt, werden künftige Versionen von Chrome neue Zertifikate von CNNIC nicht mehr akzeptieren. Für eine Übergangsphase werden bestehende Zertifikate jedoch weiter akzeptiert. CNNIC bekommt die Chance, sich für eine erneute Aufnahme in den Chrome-Browser zu bewerben, dafür müssen sie allerdings das System Certificate Transparency umsetzen.

Man-in-the-Middle-Proxy mit Zwischenzertifikat von CNNIC

Der Hintergrund: Wie vergangene Woche bekannt wurde, hatte eine ägyptische Firma namens MCS Holdings von CNNIC ein TLS-Zwischenzertifikat erhalten und damit unberechtigterweise Zertifikate für diverse Domains, unter anderem von Google, ausgestellt. Offenbar nutzte MCS Holdings das Zwischenzertifikat für einen sogenannten Man-in-the-Middle-Proxy, der nur intern eingesetzt wurde. Da Google die Zertifikate für seine eigenen und einige andere wichtige Domains durch im Browser voreingestelltes Key Pinning schützt, fiel dies auf.

Bei Google hat man sich offenbar entschlossen, bei derartigem Fehlverhalten von Zertifizierungsstellen hart durchzugreifen. Künftige Versionen von Chrome werden dem Root-Zertifikat von CNNIC nicht mehr vertrauen. Für eine Übergangsphase will Google bereits bestehenden Zertifikaten von CNNIC weiterhin vertrauen. Um für Transparenz zu sorgen, wird eine Liste der bestehenden Zertifikate, denen Chrome anhand einer Whitelist vertraut, veröffentlicht.

CNNIC ist eine chinesische Organisation, die dem dortigen Informationsministerium unterstellt ist. Die Aufnahme in die Browser vor einigen Jahren war nicht unumstritten, insbesondere bei Mozilla gab es Vorbehalte. CNNIC reagierte auf die Google-Entscheidung mit einer sehr kurzen Stellungnahme, in der die Google-Entscheidung als inakzeptabel und unverständlich beschrieben wird.

Mozilla denkt ebenfalls über Konsequenzen nach

Auf einer Mailingliste von Mozilla gab es ebenfalls eine heftige Debatte über den Umgang mit CNNIC. Mozilla-Entwickler Richard Barnes schlägt dort vor, neue Zertifikate von CNNIC ab einem bestimmten Datum nicht mehr zu akzeptieren. Die Auswirkungen wären also ähnlich wie die des Google-Plans. CNNIC solle die Chance erhalten, sich erneut für die Aufnahme zu bewerben.

Auch Google will CNNIC die Möglichkeit lassen, erneut in den Chrome-Browser aufgenommen zu werden. Um dafür zu sorgen, dass derartige Vorfälle in Zukunft unterbleiben, soll CNNIC das System Certificate Transparency umsetzen.

Certificate Transparency soll Zertifizierungsstellen zu Transparenz zwingen

Certificate Transparency ist ein System, bei dem sämtliche Zertifikate, die von Zertifizierungsstellen ausgestellt werden, in öffentlichen Logs hinterlegt werden. Dieses Log ist kryptographisch so abgesichert, dass die Korrektheit überprüft werden kann. Ein nachträgliches Ändern von Einträgen ist nicht möglich, ohne dass es auffällt. Das System ähnelt der Bitcoin-Blockchain. Google plant langfristig, dass alle Zertifizierungsstellen ihre Zertifikate über Certificate Transparency hinterlegen müssen. Demnächst soll dies vorläufig für sogenannte Extended-Validation-Zertifikate passieren.

Googles hartes Vorgehen gegen CNNIC kommt für viele überraschend, wird aber überwiegend begrüßt. In der Vergangenheit war es häufig so, dass das Fehlverhalten von Zertifizierungsstellen praktisch keine Konsequenzen hatte. Nach diversen Vorfällen bei Comodo im Jahr 2011 sagte der Kryptographie-Experte Moxie Marlinspike zynisch, das Einzige, was Comodo nach diesen Vorfällen passierte, sei gewesen, dass der Comodo-CEO auf der RSA-Konferenz zum CEO des Jahres ernannt wurde.

Google drängt auf Einhaltung von Sicherheitsstandards

Das Vorgehen gegen CNNIC ist ein weiteres Zeichen dafür, dass Google gegenüber den Zertifizierungsstellen künftig stärker auf die Einhaltung von Sicherheitsstandards drängen will. Das deutete sich bereits an, als Google vor einigen Monaten entschied, künftig die Nutzung von sicheren Hash-Funktionen bei der Zertifikatsausstellung zu verlangen und vor problematischen SHA-1-Signaturen zu warnen. Darüber waren viele Zertifizierungsstellen alles andere als glücklich, sie hatten mehrfach bereits bestehende Zeitpläne verworfen und die Umstellung immer weiter verzögert.

Nachtrag vom 3. April 2015, 7 Uhr

Mozilla hat nach einer ausführlichen Diskussion nun ebenfalls beschlossen, das CNNIC-Zertifikat aus dem Browser zu entfernen. Firefox wird jedoch vorläufig Zertifikate weiterhin akzeptieren, die vor dem 1. April 2015 erstellt wurden. Da das Datum in einem Zertifikat theoretisch auch falsch gesetzt werden kann, hat Mozilla CNNIC um eine Liste aller gültigen Zertifikate gebeten. Sollten zusätzliche Zertifikate mit einem Erstellungsdatum vor dem 1. April auftauchen, behält Mozilla sich weitere Schritte vor.


eye home zur Startseite
Niantic 03. Apr 2015

Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca...

DerVorhangZuUnd... 02. Apr 2015

Hahahhahahahha.... auf dem Boden roll... zusammenbrech... 1. April ist doch schon rum. Oder?



Anzeige

Stellenmarkt
  1. Wüstenrot Immobilien GmbH, Ludwigsburg
  2. PTV Group, Karlsruhe
  3. Landeshauptstadt Potsdam, Potsdam
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. (u. a. Laptops, Werkzeuge, Outdoor-Spielzeug, Grills usw.)
  2. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€, Bose SOUNDSPORT PULSE WIRELESS 174,90€)

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

  1. Re: Volumenbegrenzungen abschaffen

    sundown73 | 20:50

  2. Re: Ubisoft Trailer...

    MadMonkey | 20:49

  3. Re: 700$ - Ich hätte da eine bessere Lösung...

    Oktavian | 20:48

  4. Re: Wundert mich nicht, die löschen auch...

    ex-Amazoner | 20:48

  5. Re: Mit Stream On gibt es noch ein ganz anderes...

    redmord | 20:46


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel