Abo
  • Services:
Anzeige
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

India CCA: Gefälschte Zertifikate für Google-Domains

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Anzeige

Offenbar sind von einer indischen Zertifizierungsstelle mehrere gefälschte Zertifikate ausgestellt worden. Darüber berichtet Google-Entwickler Adam Langley in einem Blogeintrag. Demnach wurde Google auf die Existenz mehrerer Zertifikate für Google-eigene Domains aufmerksam, die nicht von Google selbst erstellt wurden. Der Inhaber des gefälschten Zertifikats könnte damit HTTPS-Verbindungen zu Webseiten von Google mit Hilfe einer Man-in-the-Middle-Attacke mitlesen oder manipulieren.

Signiert wurden die Zertifikate von einer Zertifizierungsstelle des indischen National Informatics Centre (NIC), einer staatlichen Wissenschaftsorganisation. Das Zertifikat des National Informatics Centre wiederum wurde signiert von India CCA, einer Zertifizierungsstelle der indischen Regierung.

Root-Zertifikat wird nur von Windows akzeptiert

Das Root-Zertifikat von India CCA wurde im Oktober 2011 in den Zertifikats-Store von Windows aufgenommen. Akzeptiert wird es damit von allen Browsern, die die Windows-eigenen Kryptographiefunktionen für TLS-Verbindungen nutzen. Bei den Browsern betrifft das den Internet Explorer und Google Chrome. Die Liste der akzeptierten Zertifizierungsstellen wird von Windows automatisch online aktualisiert - eine Vorgehensweise, die in der Vergangenheit schon für Kritik gesorgt hat.

Mozilla Firefox nutzt eine eigene Liste von Root-Zertifikaten, die India CCA nicht enthält, somit sind Firefox-Nutzer vom Angriff nicht betroffen. In Chrome wäre zumindest ein Angriff auf Google-eigene Dienste ebenfalls nicht möglich, denn Googles eigener Browser akzeptiert für die Dienste des Suchmaschinenkonzerns nur eine beschränkte Liste von Zertifizierungsstellen. Allerdings sind die für Google-eigene Domains ausgestellten Zertifikate offenbar nicht die einzigen gefälschten Zertifikate von India CCA.

Gegenüber Google hat India CCA inzwischen eine Stellungnahme abgegeben. Demnach seien insgesamt nur vier gefälschte Zertifikate ausgestellt worden, drei für Domains von Google und eine für Domains von Yahoo. Doch Google schreibt, dass es bereits weiß, dass neben diesen vier Zertifikaten weitere gefälschte Zertifikate von India CCA im Umlauf sind.

Ausstellung von Zertifikaten eingestellt

Auf der Webseite der Zertifizierungsstelle des National Informatics Centre ist zurzeit nur zu lesen, dass aus Sicherheitsgründen die Ausstellung von Zertifikaten vorerst eingestellt wurde. Das Zertifikat des National Informatics Centre (NIC) wurde inzwischen von India CCA zurückgezogen, damit sind alle ausgestellten Fake-Zertifikate ungültig. Das hilft allerdings nur eingeschränkt, denn die Prüfung der Gültigkeit von Zertifikaten ist zurzeit in keinem Browser in sicherer Weise implementiert.

Google hat inzwischen für den eigenen Chrome-Browser reagiert: Der Google-Browser wird alle bekannten gefälschten Zertifikate automatisch blockieren. Weiterhin akzeptiert Chrome künftig Zertifikate von India CCA nur noch für eine eingeschränkte Liste von Subdomains, darunter beispielsweise Seiten der indischen Regierung. Ein von India CCA signiertes Zertifikat für google.com oder yahoo.com würde demnach nicht mehr als gültig akzeptiert.

Keine öffentliche Reaktion auf den Vorfall gibt es bisher von Microsoft. Das ist insofern bemerkenswert, als außer Microsoft die Zertifikate von India CCA bislang niemand akzeptiert. Bei Mozilla wurde die Aufnahme des Root-Zertifikats 2010 beantragt, bislang wurde noch nicht darüber entschieden. Auch in Android, OS X und iOS werden diese Zertifikate bislang nicht akzeptiert. Wir haben die Microsoft-Pressestelle um eine Stellungnahme zu dem Vorfall gebeten und werden diesen Artikel aktualisieren, sobald uns diese vorliegt.

Ungelöste Probleme des Systems der Zertifizierungsstellen

Das Auftauchen der gefälschten Zertifikate macht erneut auf die ungelösten Probleme des gesamten Systems der TLS-Zertifizierungsstellen aufmerksam. Jede Zertifizierungsstelle kann Zertifikate für beliebige Domains ausstellen, das gesamte System ist damit nur so sicher wie die schwächste Zertifizierungsstelle. Browser akzeptieren automatisch Hunderte von Zertifizierungsstellen und jede davon kann wiederum beliebig viele Unterzertifizierungsstellen ernennen.

In den vergangenen Jahren gab es eine ganze Reihe von ähnlichen Vorfällen, etwa bei Comodo, einer der größten Zertifizierungsstellen überhaupt, bei der inzwischen insolventen niederländischen Firma Diginotar und bei einigen anderen. Folgen hatte das bislang kaum. Es gibt verschiedene Vorschläge, wie man das System der Zertifizierungsstellen stärken oder komplett ersetzen könnte, doch bislang befinden sich diese alle lediglich im Entwurfsstadium.


eye home zur Startseite
elcravo 11. Jul 2014

Das du, wenn du http://www.google.de in deinen Browser eintippst auf https://www.google...



Anzeige

Stellenmarkt
  1. Daimler AG, Hamburg
  2. Ratbacher GmbH, München
  3. Bosch Software Innovations GmbH, Waiblingen
  4. VSA GmbH, München


Anzeige
Hardware-Angebote
  1. 1.039,00€ + 3,99€ Versand
  2. auf Kameras und Objektive

Folgen Sie uns
       


  1. Google

    Android 8.0 heißt Oreo

  2. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  3. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  4. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  5. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  6. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  7. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  8. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards

  9. Square Enix

    Nvidia möbelt Final Fantasy 15 für Windows-PC auf

  10. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered im Test: Klick, klick, klick, klick, klick als wär es 1998
Starcraft Remastered im Test
Klick, klick, klick, klick, klick als wär es 1998
  1. Blizzard Der Name Battle.net bleibt
  2. Starcraft Remastered "Mit den Protoss kann man seinen Gegner richtig nerven!"
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips
  2. Celsius-Workstations Fujitsu bringt sichere Notebooks und kabellose Desktops

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Re: Sie laufen mit "Solarenergie"????

    m9898 | 23:45

  2. Re: Wie kann man ein Patend darauf beantragen?

    leMatin | 23:43

  3. Re: Die Anzahl der Kommentare korreliert mit dem...

    jose.ramirez | 23:40

  4. Re: Icon mit Zahl

    Phantom | 23:35

  5. Re: Hoffentlich ...

    404-error | 23:31


  1. 20:53

  2. 18:40

  3. 18:25

  4. 17:52

  5. 17:30

  6. 15:33

  7. 15:07

  8. 14:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel