Abo
  • Services:
Anzeige
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

India CCA: Gefälschte Zertifikate für Google-Domains

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Anzeige

Offenbar sind von einer indischen Zertifizierungsstelle mehrere gefälschte Zertifikate ausgestellt worden. Darüber berichtet Google-Entwickler Adam Langley in einem Blogeintrag. Demnach wurde Google auf die Existenz mehrerer Zertifikate für Google-eigene Domains aufmerksam, die nicht von Google selbst erstellt wurden. Der Inhaber des gefälschten Zertifikats könnte damit HTTPS-Verbindungen zu Webseiten von Google mit Hilfe einer Man-in-the-Middle-Attacke mitlesen oder manipulieren.

Signiert wurden die Zertifikate von einer Zertifizierungsstelle des indischen National Informatics Centre (NIC), einer staatlichen Wissenschaftsorganisation. Das Zertifikat des National Informatics Centre wiederum wurde signiert von India CCA, einer Zertifizierungsstelle der indischen Regierung.

Root-Zertifikat wird nur von Windows akzeptiert

Das Root-Zertifikat von India CCA wurde im Oktober 2011 in den Zertifikats-Store von Windows aufgenommen. Akzeptiert wird es damit von allen Browsern, die die Windows-eigenen Kryptographiefunktionen für TLS-Verbindungen nutzen. Bei den Browsern betrifft das den Internet Explorer und Google Chrome. Die Liste der akzeptierten Zertifizierungsstellen wird von Windows automatisch online aktualisiert - eine Vorgehensweise, die in der Vergangenheit schon für Kritik gesorgt hat.

Mozilla Firefox nutzt eine eigene Liste von Root-Zertifikaten, die India CCA nicht enthält, somit sind Firefox-Nutzer vom Angriff nicht betroffen. In Chrome wäre zumindest ein Angriff auf Google-eigene Dienste ebenfalls nicht möglich, denn Googles eigener Browser akzeptiert für die Dienste des Suchmaschinenkonzerns nur eine beschränkte Liste von Zertifizierungsstellen. Allerdings sind die für Google-eigene Domains ausgestellten Zertifikate offenbar nicht die einzigen gefälschten Zertifikate von India CCA.

Gegenüber Google hat India CCA inzwischen eine Stellungnahme abgegeben. Demnach seien insgesamt nur vier gefälschte Zertifikate ausgestellt worden, drei für Domains von Google und eine für Domains von Yahoo. Doch Google schreibt, dass es bereits weiß, dass neben diesen vier Zertifikaten weitere gefälschte Zertifikate von India CCA im Umlauf sind.

Ausstellung von Zertifikaten eingestellt

Auf der Webseite der Zertifizierungsstelle des National Informatics Centre ist zurzeit nur zu lesen, dass aus Sicherheitsgründen die Ausstellung von Zertifikaten vorerst eingestellt wurde. Das Zertifikat des National Informatics Centre (NIC) wurde inzwischen von India CCA zurückgezogen, damit sind alle ausgestellten Fake-Zertifikate ungültig. Das hilft allerdings nur eingeschränkt, denn die Prüfung der Gültigkeit von Zertifikaten ist zurzeit in keinem Browser in sicherer Weise implementiert.

Google hat inzwischen für den eigenen Chrome-Browser reagiert: Der Google-Browser wird alle bekannten gefälschten Zertifikate automatisch blockieren. Weiterhin akzeptiert Chrome künftig Zertifikate von India CCA nur noch für eine eingeschränkte Liste von Subdomains, darunter beispielsweise Seiten der indischen Regierung. Ein von India CCA signiertes Zertifikat für google.com oder yahoo.com würde demnach nicht mehr als gültig akzeptiert.

Keine öffentliche Reaktion auf den Vorfall gibt es bisher von Microsoft. Das ist insofern bemerkenswert, als außer Microsoft die Zertifikate von India CCA bislang niemand akzeptiert. Bei Mozilla wurde die Aufnahme des Root-Zertifikats 2010 beantragt, bislang wurde noch nicht darüber entschieden. Auch in Android, OS X und iOS werden diese Zertifikate bislang nicht akzeptiert. Wir haben die Microsoft-Pressestelle um eine Stellungnahme zu dem Vorfall gebeten und werden diesen Artikel aktualisieren, sobald uns diese vorliegt.

Ungelöste Probleme des Systems der Zertifizierungsstellen

Das Auftauchen der gefälschten Zertifikate macht erneut auf die ungelösten Probleme des gesamten Systems der TLS-Zertifizierungsstellen aufmerksam. Jede Zertifizierungsstelle kann Zertifikate für beliebige Domains ausstellen, das gesamte System ist damit nur so sicher wie die schwächste Zertifizierungsstelle. Browser akzeptieren automatisch Hunderte von Zertifizierungsstellen und jede davon kann wiederum beliebig viele Unterzertifizierungsstellen ernennen.

In den vergangenen Jahren gab es eine ganze Reihe von ähnlichen Vorfällen, etwa bei Comodo, einer der größten Zertifizierungsstellen überhaupt, bei der inzwischen insolventen niederländischen Firma Diginotar und bei einigen anderen. Folgen hatte das bislang kaum. Es gibt verschiedene Vorschläge, wie man das System der Zertifizierungsstellen stärken oder komplett ersetzen könnte, doch bislang befinden sich diese alle lediglich im Entwurfsstadium.


eye home zur Startseite
elcravo 11. Jul 2014

Das du, wenn du http://www.google.de in deinen Browser eintippst auf https://www.google...



Anzeige

Stellenmarkt
  1. Heinzmann GmbH & Co. KG, Schönau
  2. über Ratbacher GmbH, Raum Nürnberg
  3. ING-DiBa AG, Nürnberg
  4. über Staff Gmbh, München (Home-Office möglich)


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 69,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Aktivierungsworte und englische Aussprache

    IchBIN | 04:37

  2. Re: Interessante Idee...

    IchBIN | 04:01

  3. Re: So funktioniert die App:

    Komischer_Phreak | 03:55

  4. Re: Es gibt keinen kostenlosen Google-Service

    divStar | 03:39

  5. Re: Dazu bräuchte es vor allem eine vernünftige...

    divStar | 03:37


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel