Abo
  • Services:
Anzeige
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

Anzeige

Die Ausstellung von falschen Google-Zertifikaten durch die chinesische Zertifizierungsstelle CNNIC (China Internet Network Information Center) hat Konsequenzen. Wie Google-Entwickler Adam Langley in einem Blog-Eintrag erklärt, werden künftige Versionen von Chrome neue Zertifikate von CNNIC nicht mehr akzeptieren. Für eine Übergangsphase werden bestehende Zertifikate jedoch weiter akzeptiert. CNNIC bekommt die Chance, sich für eine erneute Aufnahme in den Chrome-Browser zu bewerben, dafür müssen sie allerdings das System Certificate Transparency umsetzen.

Man-in-the-Middle-Proxy mit Zwischenzertifikat von CNNIC

Der Hintergrund: Wie vergangene Woche bekannt wurde, hatte eine ägyptische Firma namens MCS Holdings von CNNIC ein TLS-Zwischenzertifikat erhalten und damit unberechtigterweise Zertifikate für diverse Domains, unter anderem von Google, ausgestellt. Offenbar nutzte MCS Holdings das Zwischenzertifikat für einen sogenannten Man-in-the-Middle-Proxy, der nur intern eingesetzt wurde. Da Google die Zertifikate für seine eigenen und einige andere wichtige Domains durch im Browser voreingestelltes Key Pinning schützt, fiel dies auf.

Bei Google hat man sich offenbar entschlossen, bei derartigem Fehlverhalten von Zertifizierungsstellen hart durchzugreifen. Künftige Versionen von Chrome werden dem Root-Zertifikat von CNNIC nicht mehr vertrauen. Für eine Übergangsphase will Google bereits bestehenden Zertifikaten von CNNIC weiterhin vertrauen. Um für Transparenz zu sorgen, wird eine Liste der bestehenden Zertifikate, denen Chrome anhand einer Whitelist vertraut, veröffentlicht.

CNNIC ist eine chinesische Organisation, die dem dortigen Informationsministerium unterstellt ist. Die Aufnahme in die Browser vor einigen Jahren war nicht unumstritten, insbesondere bei Mozilla gab es Vorbehalte. CNNIC reagierte auf die Google-Entscheidung mit einer sehr kurzen Stellungnahme, in der die Google-Entscheidung als inakzeptabel und unverständlich beschrieben wird.

Mozilla denkt ebenfalls über Konsequenzen nach

Auf einer Mailingliste von Mozilla gab es ebenfalls eine heftige Debatte über den Umgang mit CNNIC. Mozilla-Entwickler Richard Barnes schlägt dort vor, neue Zertifikate von CNNIC ab einem bestimmten Datum nicht mehr zu akzeptieren. Die Auswirkungen wären also ähnlich wie die des Google-Plans. CNNIC solle die Chance erhalten, sich erneut für die Aufnahme zu bewerben.

Auch Google will CNNIC die Möglichkeit lassen, erneut in den Chrome-Browser aufgenommen zu werden. Um dafür zu sorgen, dass derartige Vorfälle in Zukunft unterbleiben, soll CNNIC das System Certificate Transparency umsetzen.

Certificate Transparency soll Zertifizierungsstellen zu Transparenz zwingen

Certificate Transparency ist ein System, bei dem sämtliche Zertifikate, die von Zertifizierungsstellen ausgestellt werden, in öffentlichen Logs hinterlegt werden. Dieses Log ist kryptographisch so abgesichert, dass die Korrektheit überprüft werden kann. Ein nachträgliches Ändern von Einträgen ist nicht möglich, ohne dass es auffällt. Das System ähnelt der Bitcoin-Blockchain. Google plant langfristig, dass alle Zertifizierungsstellen ihre Zertifikate über Certificate Transparency hinterlegen müssen. Demnächst soll dies vorläufig für sogenannte Extended-Validation-Zertifikate passieren.

Googles hartes Vorgehen gegen CNNIC kommt für viele überraschend, wird aber überwiegend begrüßt. In der Vergangenheit war es häufig so, dass das Fehlverhalten von Zertifizierungsstellen praktisch keine Konsequenzen hatte. Nach diversen Vorfällen bei Comodo im Jahr 2011 sagte der Kryptographie-Experte Moxie Marlinspike zynisch, das Einzige, was Comodo nach diesen Vorfällen passierte, sei gewesen, dass der Comodo-CEO auf der RSA-Konferenz zum CEO des Jahres ernannt wurde.

Google drängt auf Einhaltung von Sicherheitsstandards

Das Vorgehen gegen CNNIC ist ein weiteres Zeichen dafür, dass Google gegenüber den Zertifizierungsstellen künftig stärker auf die Einhaltung von Sicherheitsstandards drängen will. Das deutete sich bereits an, als Google vor einigen Monaten entschied, künftig die Nutzung von sicheren Hash-Funktionen bei der Zertifikatsausstellung zu verlangen und vor problematischen SHA-1-Signaturen zu warnen. Darüber waren viele Zertifizierungsstellen alles andere als glücklich, sie hatten mehrfach bereits bestehende Zeitpläne verworfen und die Umstellung immer weiter verzögert.

Nachtrag vom 3. April 2015, 7 Uhr

Mozilla hat nach einer ausführlichen Diskussion nun ebenfalls beschlossen, das CNNIC-Zertifikat aus dem Browser zu entfernen. Firefox wird jedoch vorläufig Zertifikate weiterhin akzeptieren, die vor dem 1. April 2015 erstellt wurden. Da das Datum in einem Zertifikat theoretisch auch falsch gesetzt werden kann, hat Mozilla CNNIC um eine Liste aller gültigen Zertifikate gebeten. Sollten zusätzliche Zertifikate mit einem Erstellungsdatum vor dem 1. April auftauchen, behält Mozilla sich weitere Schritte vor.


eye home zur Startseite
Niantic 03. Apr 2015

Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca...

DerVorhangZuUnd... 02. Apr 2015

Hahahhahahahha.... auf dem Boden roll... zusammenbrech... 1. April ist doch schon rum. Oder?



Anzeige

Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. operational services GmbH & Co. KG, Wolfsburg
  3. Leadec Management Central Europe BV & Co. KG, Stuttgart
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Jena


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 19,99€ - Release 19.10.
  3. 21,99€

Folgen Sie uns
       


  1. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  2. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  3. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  4. Pocketbeagle

    Beaglebone passt in die Hosentasche

  5. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  6. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  7. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  8. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  9. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  10. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: hmm brauch man sowas

    |=H | 10:09

  2. Re: Aus der Ferne...

    Peter Brülls | 10:09

  3. Re: Es nervt!!!

    DetlevCM | 10:07

  4. Re: Schadcode im pflicht Update von Windows 10...

    thecrew | 10:07

  5. Re: Eltern leben in einer Welt aus Angst

    |=H | 10:07


  1. 09:56

  2. 09:06

  3. 08:11

  4. 07:21

  5. 18:13

  6. 17:49

  7. 17:39

  8. 17:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel