• IT-Karriere:
  • Services:

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

Artikel veröffentlicht am , Hanno Böck
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert.
Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot)

Die Ausstellung von falschen Google-Zertifikaten durch die chinesische Zertifizierungsstelle CNNIC (China Internet Network Information Center) hat Konsequenzen. Wie Google-Entwickler Adam Langley in einem Blog-Eintrag erklärt, werden künftige Versionen von Chrome neue Zertifikate von CNNIC nicht mehr akzeptieren. Für eine Übergangsphase werden bestehende Zertifikate jedoch weiter akzeptiert. CNNIC bekommt die Chance, sich für eine erneute Aufnahme in den Chrome-Browser zu bewerben, dafür müssen sie allerdings das System Certificate Transparency umsetzen.

Man-in-the-Middle-Proxy mit Zwischenzertifikat von CNNIC

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. heroal - Johann Henkenjohann GmbH & Co. KG, Verl

Der Hintergrund: Wie vergangene Woche bekannt wurde, hatte eine ägyptische Firma namens MCS Holdings von CNNIC ein TLS-Zwischenzertifikat erhalten und damit unberechtigterweise Zertifikate für diverse Domains, unter anderem von Google, ausgestellt. Offenbar nutzte MCS Holdings das Zwischenzertifikat für einen sogenannten Man-in-the-Middle-Proxy, der nur intern eingesetzt wurde. Da Google die Zertifikate für seine eigenen und einige andere wichtige Domains durch im Browser voreingestelltes Key Pinning schützt, fiel dies auf.

Bei Google hat man sich offenbar entschlossen, bei derartigem Fehlverhalten von Zertifizierungsstellen hart durchzugreifen. Künftige Versionen von Chrome werden dem Root-Zertifikat von CNNIC nicht mehr vertrauen. Für eine Übergangsphase will Google bereits bestehenden Zertifikaten von CNNIC weiterhin vertrauen. Um für Transparenz zu sorgen, wird eine Liste der bestehenden Zertifikate, denen Chrome anhand einer Whitelist vertraut, veröffentlicht.

CNNIC ist eine chinesische Organisation, die dem dortigen Informationsministerium unterstellt ist. Die Aufnahme in die Browser vor einigen Jahren war nicht unumstritten, insbesondere bei Mozilla gab es Vorbehalte. CNNIC reagierte auf die Google-Entscheidung mit einer sehr kurzen Stellungnahme, in der die Google-Entscheidung als inakzeptabel und unverständlich beschrieben wird.

Mozilla denkt ebenfalls über Konsequenzen nach

Auf einer Mailingliste von Mozilla gab es ebenfalls eine heftige Debatte über den Umgang mit CNNIC. Mozilla-Entwickler Richard Barnes schlägt dort vor, neue Zertifikate von CNNIC ab einem bestimmten Datum nicht mehr zu akzeptieren. Die Auswirkungen wären also ähnlich wie die des Google-Plans. CNNIC solle die Chance erhalten, sich erneut für die Aufnahme zu bewerben.

Auch Google will CNNIC die Möglichkeit lassen, erneut in den Chrome-Browser aufgenommen zu werden. Um dafür zu sorgen, dass derartige Vorfälle in Zukunft unterbleiben, soll CNNIC das System Certificate Transparency umsetzen.

Certificate Transparency soll Zertifizierungsstellen zu Transparenz zwingen

Certificate Transparency ist ein System, bei dem sämtliche Zertifikate, die von Zertifizierungsstellen ausgestellt werden, in öffentlichen Logs hinterlegt werden. Dieses Log ist kryptographisch so abgesichert, dass die Korrektheit überprüft werden kann. Ein nachträgliches Ändern von Einträgen ist nicht möglich, ohne dass es auffällt. Das System ähnelt der Bitcoin-Blockchain. Google plant langfristig, dass alle Zertifizierungsstellen ihre Zertifikate über Certificate Transparency hinterlegen müssen. Demnächst soll dies vorläufig für sogenannte Extended-Validation-Zertifikate passieren.

Googles hartes Vorgehen gegen CNNIC kommt für viele überraschend, wird aber überwiegend begrüßt. In der Vergangenheit war es häufig so, dass das Fehlverhalten von Zertifizierungsstellen praktisch keine Konsequenzen hatte. Nach diversen Vorfällen bei Comodo im Jahr 2011 sagte der Kryptographie-Experte Moxie Marlinspike zynisch, das Einzige, was Comodo nach diesen Vorfällen passierte, sei gewesen, dass der Comodo-CEO auf der RSA-Konferenz zum CEO des Jahres ernannt wurde.

Google drängt auf Einhaltung von Sicherheitsstandards

Das Vorgehen gegen CNNIC ist ein weiteres Zeichen dafür, dass Google gegenüber den Zertifizierungsstellen künftig stärker auf die Einhaltung von Sicherheitsstandards drängen will. Das deutete sich bereits an, als Google vor einigen Monaten entschied, künftig die Nutzung von sicheren Hash-Funktionen bei der Zertifikatsausstellung zu verlangen und vor problematischen SHA-1-Signaturen zu warnen. Darüber waren viele Zertifizierungsstellen alles andere als glücklich, sie hatten mehrfach bereits bestehende Zeitpläne verworfen und die Umstellung immer weiter verzögert.

Nachtrag vom 3. April 2015, 7 Uhr

Mozilla hat nach einer ausführlichen Diskussion nun ebenfalls beschlossen, das CNNIC-Zertifikat aus dem Browser zu entfernen. Firefox wird jedoch vorläufig Zertifikate weiterhin akzeptieren, die vor dem 1. April 2015 erstellt wurden. Da das Datum in einem Zertifikat theoretisch auch falsch gesetzt werden kann, hat Mozilla CNNIC um eine Liste aller gültigen Zertifikate gebeten. Sollten zusätzliche Zertifikate mit einem Erstellungsdatum vor dem 1. April auftauchen, behält Mozilla sich weitere Schritte vor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-40%) 35,99€
  2. 15,00€
  3. 39,99€

Niantic 03. Apr 2015

Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca...

DerVorhangZuUnd... 02. Apr 2015

Hahahhahahahha.... auf dem Boden roll... zusammenbrech... 1. April ist doch schon rum. Oder?


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

    •  /