India CCA: Gefälschte Zertifikate für Google-Domains

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Artikel veröffentlicht am , Hanno Böck
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

Offenbar sind von einer indischen Zertifizierungsstelle mehrere gefälschte Zertifikate ausgestellt worden. Darüber berichtet Google-Entwickler Adam Langley in einem Blogeintrag. Demnach wurde Google auf die Existenz mehrerer Zertifikate für Google-eigene Domains aufmerksam, die nicht von Google selbst erstellt wurden. Der Inhaber des gefälschten Zertifikats könnte damit HTTPS-Verbindungen zu Webseiten von Google mit Hilfe einer Man-in-the-Middle-Attacke mitlesen oder manipulieren.

Stellenmarkt
  1. Referent (w/m/d) im Bereich IT-Sicherheit
    Hochschule der Medien (HdM), Stuttgart-Vaihingen
  2. IT-Beratung & Support für Baustellen und Konzernstandorte (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Signiert wurden die Zertifikate von einer Zertifizierungsstelle des indischen National Informatics Centre (NIC), einer staatlichen Wissenschaftsorganisation. Das Zertifikat des National Informatics Centre wiederum wurde signiert von India CCA, einer Zertifizierungsstelle der indischen Regierung.

Root-Zertifikat wird nur von Windows akzeptiert

Das Root-Zertifikat von India CCA wurde im Oktober 2011 in den Zertifikats-Store von Windows aufgenommen. Akzeptiert wird es damit von allen Browsern, die die Windows-eigenen Kryptographiefunktionen für TLS-Verbindungen nutzen. Bei den Browsern betrifft das den Internet Explorer und Google Chrome. Die Liste der akzeptierten Zertifizierungsstellen wird von Windows automatisch online aktualisiert - eine Vorgehensweise, die in der Vergangenheit schon für Kritik gesorgt hat.

Mozilla Firefox nutzt eine eigene Liste von Root-Zertifikaten, die India CCA nicht enthält, somit sind Firefox-Nutzer vom Angriff nicht betroffen. In Chrome wäre zumindest ein Angriff auf Google-eigene Dienste ebenfalls nicht möglich, denn Googles eigener Browser akzeptiert für die Dienste des Suchmaschinenkonzerns nur eine beschränkte Liste von Zertifizierungsstellen. Allerdings sind die für Google-eigene Domains ausgestellten Zertifikate offenbar nicht die einzigen gefälschten Zertifikate von India CCA.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Gegenüber Google hat India CCA inzwischen eine Stellungnahme abgegeben. Demnach seien insgesamt nur vier gefälschte Zertifikate ausgestellt worden, drei für Domains von Google und eine für Domains von Yahoo. Doch Google schreibt, dass es bereits weiß, dass neben diesen vier Zertifikaten weitere gefälschte Zertifikate von India CCA im Umlauf sind.

Ausstellung von Zertifikaten eingestellt

Auf der Webseite der Zertifizierungsstelle des National Informatics Centre ist zurzeit nur zu lesen, dass aus Sicherheitsgründen die Ausstellung von Zertifikaten vorerst eingestellt wurde. Das Zertifikat des National Informatics Centre (NIC) wurde inzwischen von India CCA zurückgezogen, damit sind alle ausgestellten Fake-Zertifikate ungültig. Das hilft allerdings nur eingeschränkt, denn die Prüfung der Gültigkeit von Zertifikaten ist zurzeit in keinem Browser in sicherer Weise implementiert.

Google hat inzwischen für den eigenen Chrome-Browser reagiert: Der Google-Browser wird alle bekannten gefälschten Zertifikate automatisch blockieren. Weiterhin akzeptiert Chrome künftig Zertifikate von India CCA nur noch für eine eingeschränkte Liste von Subdomains, darunter beispielsweise Seiten der indischen Regierung. Ein von India CCA signiertes Zertifikat für google.com oder yahoo.com würde demnach nicht mehr als gültig akzeptiert.

Keine öffentliche Reaktion auf den Vorfall gibt es bisher von Microsoft. Das ist insofern bemerkenswert, als außer Microsoft die Zertifikate von India CCA bislang niemand akzeptiert. Bei Mozilla wurde die Aufnahme des Root-Zertifikats 2010 beantragt, bislang wurde noch nicht darüber entschieden. Auch in Android, OS X und iOS werden diese Zertifikate bislang nicht akzeptiert. Wir haben die Microsoft-Pressestelle um eine Stellungnahme zu dem Vorfall gebeten und werden diesen Artikel aktualisieren, sobald uns diese vorliegt.

Ungelöste Probleme des Systems der Zertifizierungsstellen

Das Auftauchen der gefälschten Zertifikate macht erneut auf die ungelösten Probleme des gesamten Systems der TLS-Zertifizierungsstellen aufmerksam. Jede Zertifizierungsstelle kann Zertifikate für beliebige Domains ausstellen, das gesamte System ist damit nur so sicher wie die schwächste Zertifizierungsstelle. Browser akzeptieren automatisch Hunderte von Zertifizierungsstellen und jede davon kann wiederum beliebig viele Unterzertifizierungsstellen ernennen.

In den vergangenen Jahren gab es eine ganze Reihe von ähnlichen Vorfällen, etwa bei Comodo, einer der größten Zertifizierungsstellen überhaupt, bei der inzwischen insolventen niederländischen Firma Diginotar und bei einigen anderen. Folgen hatte das bislang kaum. Es gibt verschiedene Vorschläge, wie man das System der Zertifizierungsstellen stärken oder komplett ersetzen könnte, doch bislang befinden sich diese alle lediglich im Entwurfsstadium.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

elcravo 11. Jul 2014

Das du, wenn du http://www.google.de in deinen Browser eintippst auf https://www.google...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /