Abo
  • Services:
Anzeige
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

Anzeige

Die Ausstellung von falschen Google-Zertifikaten durch die chinesische Zertifizierungsstelle CNNIC (China Internet Network Information Center) hat Konsequenzen. Wie Google-Entwickler Adam Langley in einem Blog-Eintrag erklärt, werden künftige Versionen von Chrome neue Zertifikate von CNNIC nicht mehr akzeptieren. Für eine Übergangsphase werden bestehende Zertifikate jedoch weiter akzeptiert. CNNIC bekommt die Chance, sich für eine erneute Aufnahme in den Chrome-Browser zu bewerben, dafür müssen sie allerdings das System Certificate Transparency umsetzen.

Man-in-the-Middle-Proxy mit Zwischenzertifikat von CNNIC

Der Hintergrund: Wie vergangene Woche bekannt wurde, hatte eine ägyptische Firma namens MCS Holdings von CNNIC ein TLS-Zwischenzertifikat erhalten und damit unberechtigterweise Zertifikate für diverse Domains, unter anderem von Google, ausgestellt. Offenbar nutzte MCS Holdings das Zwischenzertifikat für einen sogenannten Man-in-the-Middle-Proxy, der nur intern eingesetzt wurde. Da Google die Zertifikate für seine eigenen und einige andere wichtige Domains durch im Browser voreingestelltes Key Pinning schützt, fiel dies auf.

Bei Google hat man sich offenbar entschlossen, bei derartigem Fehlverhalten von Zertifizierungsstellen hart durchzugreifen. Künftige Versionen von Chrome werden dem Root-Zertifikat von CNNIC nicht mehr vertrauen. Für eine Übergangsphase will Google bereits bestehenden Zertifikaten von CNNIC weiterhin vertrauen. Um für Transparenz zu sorgen, wird eine Liste der bestehenden Zertifikate, denen Chrome anhand einer Whitelist vertraut, veröffentlicht.

CNNIC ist eine chinesische Organisation, die dem dortigen Informationsministerium unterstellt ist. Die Aufnahme in die Browser vor einigen Jahren war nicht unumstritten, insbesondere bei Mozilla gab es Vorbehalte. CNNIC reagierte auf die Google-Entscheidung mit einer sehr kurzen Stellungnahme, in der die Google-Entscheidung als inakzeptabel und unverständlich beschrieben wird.

Mozilla denkt ebenfalls über Konsequenzen nach

Auf einer Mailingliste von Mozilla gab es ebenfalls eine heftige Debatte über den Umgang mit CNNIC. Mozilla-Entwickler Richard Barnes schlägt dort vor, neue Zertifikate von CNNIC ab einem bestimmten Datum nicht mehr zu akzeptieren. Die Auswirkungen wären also ähnlich wie die des Google-Plans. CNNIC solle die Chance erhalten, sich erneut für die Aufnahme zu bewerben.

Auch Google will CNNIC die Möglichkeit lassen, erneut in den Chrome-Browser aufgenommen zu werden. Um dafür zu sorgen, dass derartige Vorfälle in Zukunft unterbleiben, soll CNNIC das System Certificate Transparency umsetzen.

Certificate Transparency soll Zertifizierungsstellen zu Transparenz zwingen

Certificate Transparency ist ein System, bei dem sämtliche Zertifikate, die von Zertifizierungsstellen ausgestellt werden, in öffentlichen Logs hinterlegt werden. Dieses Log ist kryptographisch so abgesichert, dass die Korrektheit überprüft werden kann. Ein nachträgliches Ändern von Einträgen ist nicht möglich, ohne dass es auffällt. Das System ähnelt der Bitcoin-Blockchain. Google plant langfristig, dass alle Zertifizierungsstellen ihre Zertifikate über Certificate Transparency hinterlegen müssen. Demnächst soll dies vorläufig für sogenannte Extended-Validation-Zertifikate passieren.

Googles hartes Vorgehen gegen CNNIC kommt für viele überraschend, wird aber überwiegend begrüßt. In der Vergangenheit war es häufig so, dass das Fehlverhalten von Zertifizierungsstellen praktisch keine Konsequenzen hatte. Nach diversen Vorfällen bei Comodo im Jahr 2011 sagte der Kryptographie-Experte Moxie Marlinspike zynisch, das Einzige, was Comodo nach diesen Vorfällen passierte, sei gewesen, dass der Comodo-CEO auf der RSA-Konferenz zum CEO des Jahres ernannt wurde.

Google drängt auf Einhaltung von Sicherheitsstandards

Das Vorgehen gegen CNNIC ist ein weiteres Zeichen dafür, dass Google gegenüber den Zertifizierungsstellen künftig stärker auf die Einhaltung von Sicherheitsstandards drängen will. Das deutete sich bereits an, als Google vor einigen Monaten entschied, künftig die Nutzung von sicheren Hash-Funktionen bei der Zertifikatsausstellung zu verlangen und vor problematischen SHA-1-Signaturen zu warnen. Darüber waren viele Zertifizierungsstellen alles andere als glücklich, sie hatten mehrfach bereits bestehende Zeitpläne verworfen und die Umstellung immer weiter verzögert.

Nachtrag vom 3. April 2015, 7 Uhr

Mozilla hat nach einer ausführlichen Diskussion nun ebenfalls beschlossen, das CNNIC-Zertifikat aus dem Browser zu entfernen. Firefox wird jedoch vorläufig Zertifikate weiterhin akzeptieren, die vor dem 1. April 2015 erstellt wurden. Da das Datum in einem Zertifikat theoretisch auch falsch gesetzt werden kann, hat Mozilla CNNIC um eine Liste aller gültigen Zertifikate gebeten. Sollten zusätzliche Zertifikate mit einem Erstellungsdatum vor dem 1. April auftauchen, behält Mozilla sich weitere Schritte vor.


eye home zur Startseite
Niantic 03. Apr 2015

Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca...

DerVorhangZuUnd... 02. Apr 2015

Hahahhahahahha.... auf dem Boden roll... zusammenbrech... 1. April ist doch schon rum. Oder?



Anzeige

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Stuttgart
  2. über Harvey Nash GmbH, Lübeck
  3. Daimler AG, Stuttgart
  4. Landeskriminalamt Thüringen, Erfurt


Anzeige
Top-Angebote
  1. 124,90€ + 5,99€ Versand (Vergleichspreis 137€)
  2. 14,99€ + 2,99€ Versand (Vergleichspreis 20,48€)

Folgen Sie uns
       


  1. Radeon Software 17.7.2

    AMDs Grafiktreiber bringt massig Neuerungen

  2. Quartalsbericht

    Facebooks Belegschaft wurde erheblich vergrößert

  3. GigaKombi

    Vodafone verbessert Datenpaket für Warten aufs Festnetz

  4. Datenrate

    O2 drosselt mobiles Internet wegen EU-Roamings

  5. Netgear Nighthawk X6S

    Triband-Router kann mit Sprache gesteuert werden

  6. Spark

    DJI-Minicopter stürzt ab

  7. Nachfolger Watchbox

    RTL beendet Streamingportal Clipfish

  8. Chipmaschinenausrüster

    ASML demonstriert 250-Watt-EUV-System

  9. Linux-Distribution

    Opensuse Leap 42.3 baut Langzeitpflege aus

  10. Soziales Netzwerk

    Facebook soll an Smart-Speaker mit Display arbeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

  1. Re: Mein Handy lebt in Würde:

    Squirrelchen | 06:23

  2. Re: Semi-OT: Seit einer Woche Funkzelle gestört.

    Tijuana | 05:58

  3. Re: Das ist doch Dummenverar....

    Tijuana | 05:55

  4. Re: kernfusion ist keine humane zukunftstechnik

    mrgenie | 04:53

  5. Re: Erster Eindruck..

    Cystasy | 04:19


  1. 23:00

  2. 22:41

  3. 19:35

  4. 17:26

  5. 16:53

  6. 16:22

  7. 14:53

  8. 14:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel