HTTPS: Browser blockieren kasachisches Überwachungszertifikat

In Firefox und Chrome wird ab sofort ein Zertifikat der kasachischen Regierung blockiert, mit dem diese den Datenverkehr von Nutzern überwachen könnte. Vor einigen Wochen hatten kasachische Internetprovider angefangen, ihre Nutzer aufzufordern, dieses Root-Zertifikat im Browser zu installieren.

"Menschen auf der ganzen Welt vertrauen darauf, dass Firefox sie beim Surfen im Internet schützt - insbesondere, wenn es darum geht, sie vor solchen Angriffen zu verteidigen, die ihre Sicherheit untergraben", kommentiert Marshall Erwin von Mozilla den Schritt. "Wir ergreifen solche Maßnahmen nicht leichtfertig, aber der Schutz unserer Nutzer und die Integrität des Internets sind der Grund, warum Firefox existiert."

Überwachung mit Man-in-the-Middle-Angriff

Mit dem installierten Root-Zertifikat war es kasachischen ISPs möglich, den Datenverkehr von Nutzern auch bei verschlüsselten HTTPS-Verbindungen mit Hilfe von Man-in-the-Middle-Angriffen zu überwachen. Dafür wird das Zertifikat der überwachten Webseiten von diesem manuell installierten Root-Zertifikat signiert. Kasachstan hatte die Praxis nach jüngsten Berichten jedoch wieder beendet.

Doch vermutlich werden noch einige Nutzer das entsprechende Zertifikat installiert haben und die Überwachung könnte bei diesen jederzeit wieder gestartet werden. Daher haben sich Mozilla und Google jetzt entschieden, dieses Root-Zertifikat hart zu blockieren. Beide Browser verwalten Blocklisten - bei Firefox heißt diese OneCRL, bei Chrome CRLSet -, mit denen solche Sperren vorgenommen werden können.