Abo
  • Services:
Anzeige
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

India CCA: Gefälschte Zertifikate für Google-Domains

Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Offenbar sind von einer indischen Zertifizierungsstelle mehrere gefälschte Zertifikate ausgestellt worden. Darüber berichtet Google-Entwickler Adam Langley in einem Blogeintrag. Demnach wurde Google auf die Existenz mehrerer Zertifikate für Google-eigene Domains aufmerksam, die nicht von Google selbst erstellt wurden. Der Inhaber des gefälschten Zertifikats könnte damit HTTPS-Verbindungen zu Webseiten von Google mit Hilfe einer Man-in-the-Middle-Attacke mitlesen oder manipulieren.

Anzeige

Signiert wurden die Zertifikate von einer Zertifizierungsstelle des indischen National Informatics Centre (NIC), einer staatlichen Wissenschaftsorganisation. Das Zertifikat des National Informatics Centre wiederum wurde signiert von India CCA, einer Zertifizierungsstelle der indischen Regierung.

Root-Zertifikat wird nur von Windows akzeptiert

Das Root-Zertifikat von India CCA wurde im Oktober 2011 in den Zertifikats-Store von Windows aufgenommen. Akzeptiert wird es damit von allen Browsern, die die Windows-eigenen Kryptographiefunktionen für TLS-Verbindungen nutzen. Bei den Browsern betrifft das den Internet Explorer und Google Chrome. Die Liste der akzeptierten Zertifizierungsstellen wird von Windows automatisch online aktualisiert - eine Vorgehensweise, die in der Vergangenheit schon für Kritik gesorgt hat.

Mozilla Firefox nutzt eine eigene Liste von Root-Zertifikaten, die India CCA nicht enthält, somit sind Firefox-Nutzer vom Angriff nicht betroffen. In Chrome wäre zumindest ein Angriff auf Google-eigene Dienste ebenfalls nicht möglich, denn Googles eigener Browser akzeptiert für die Dienste des Suchmaschinenkonzerns nur eine beschränkte Liste von Zertifizierungsstellen. Allerdings sind die für Google-eigene Domains ausgestellten Zertifikate offenbar nicht die einzigen gefälschten Zertifikate von India CCA.

Gegenüber Google hat India CCA inzwischen eine Stellungnahme abgegeben. Demnach seien insgesamt nur vier gefälschte Zertifikate ausgestellt worden, drei für Domains von Google und eine für Domains von Yahoo. Doch Google schreibt, dass es bereits weiß, dass neben diesen vier Zertifikaten weitere gefälschte Zertifikate von India CCA im Umlauf sind.

Ausstellung von Zertifikaten eingestellt

Auf der Webseite der Zertifizierungsstelle des National Informatics Centre ist zurzeit nur zu lesen, dass aus Sicherheitsgründen die Ausstellung von Zertifikaten vorerst eingestellt wurde. Das Zertifikat des National Informatics Centre (NIC) wurde inzwischen von India CCA zurückgezogen, damit sind alle ausgestellten Fake-Zertifikate ungültig. Das hilft allerdings nur eingeschränkt, denn die Prüfung der Gültigkeit von Zertifikaten ist zurzeit in keinem Browser in sicherer Weise implementiert.

Google hat inzwischen für den eigenen Chrome-Browser reagiert: Der Google-Browser wird alle bekannten gefälschten Zertifikate automatisch blockieren. Weiterhin akzeptiert Chrome künftig Zertifikate von India CCA nur noch für eine eingeschränkte Liste von Subdomains, darunter beispielsweise Seiten der indischen Regierung. Ein von India CCA signiertes Zertifikat für google.com oder yahoo.com würde demnach nicht mehr als gültig akzeptiert.

Keine öffentliche Reaktion auf den Vorfall gibt es bisher von Microsoft. Das ist insofern bemerkenswert, als außer Microsoft die Zertifikate von India CCA bislang niemand akzeptiert. Bei Mozilla wurde die Aufnahme des Root-Zertifikats 2010 beantragt, bislang wurde noch nicht darüber entschieden. Auch in Android, OS X und iOS werden diese Zertifikate bislang nicht akzeptiert. Wir haben die Microsoft-Pressestelle um eine Stellungnahme zu dem Vorfall gebeten und werden diesen Artikel aktualisieren, sobald uns diese vorliegt.

Ungelöste Probleme des Systems der Zertifizierungsstellen

Das Auftauchen der gefälschten Zertifikate macht erneut auf die ungelösten Probleme des gesamten Systems der TLS-Zertifizierungsstellen aufmerksam. Jede Zertifizierungsstelle kann Zertifikate für beliebige Domains ausstellen, das gesamte System ist damit nur so sicher wie die schwächste Zertifizierungsstelle. Browser akzeptieren automatisch Hunderte von Zertifizierungsstellen und jede davon kann wiederum beliebig viele Unterzertifizierungsstellen ernennen.

In den vergangenen Jahren gab es eine ganze Reihe von ähnlichen Vorfällen, etwa bei Comodo, einer der größten Zertifizierungsstellen überhaupt, bei der inzwischen insolventen niederländischen Firma Diginotar und bei einigen anderen. Folgen hatte das bislang kaum. Es gibt verschiedene Vorschläge, wie man das System der Zertifizierungsstellen stärken oder komplett ersetzen könnte, doch bislang befinden sich diese alle lediglich im Entwurfsstadium.


eye home zur Startseite
elcravo 11. Jul 2014

Das du, wenn du http://www.google.de in deinen Browser eintippst auf https://www.google...



Anzeige

Stellenmarkt
  1. LexCom Informationssysteme GmbH, Chemnitz
  2. Schwarz Dienstleistung KG, Neckarsulm
  3. PBM Personal Business Machine AG, Köln
  4. Techniker Krankenkasse, Hamburg


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 0,00€ USK 18
  3. 49,99€

Folgen Sie uns
       


  1. HMD Global

    Drei neue Nokia-Smartphones laufen mit Android One

  2. Nokia 1 im Hands On

    Android-Go-Smartphone mit Xpress-On-Covern kostet 100 Euro

  3. Nokia 8110 4G im Hands On

    Das legendäre Matrix-Handy kehrt zurück

  4. Galaxy S9 und S9+ im Hands On

    Samsungs neue Smartphones kommen mit variabler Blende

  5. Energizer P16K Pro

    Seltsames Smartphone mit 60-Wh-Riesenakku

  6. Matebook X Pro im Hands on

    Huaweis Notebook kommt mit Nvidia-Grafikkarte

  7. Apple

    iTunes Store sperrt alte Geräte und Betriebssysteme aus

  8. Alcatel 1T

    Oreo-Tablet mit 7-Zoll-Display kostet 70 Euro

  9. Notebook und Tablets

    Huawei stellt neues Matebook und Mediapads vor

  10. V30S Thinq

    LG zeigt sein erstes Thinq-Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Indiegames-Rundschau: Tiefseemonster, Cyberpunks und ein Kelte
Indiegames-Rundschau
Tiefseemonster, Cyberpunks und ein Kelte
  1. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass
  2. Games 2017 Die besten Indiespiele des Jahres

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Das sagt eine Schlange auch

    plutoniumsulfat | 00:51

  2. Re: "nicht besonders scharf"

    Seroy | 00:49

  3. Endlich mal wieder ein 16:9 Gerät

    Robert.Mas | 00:49

  4. Re: Grundgedanke cool, Präsentation schlecht

    LiPo | 00:40

  5. Re: Klinkenbuchse

    Topf | 00:29


  1. 22:11

  2. 20:17

  3. 19:48

  4. 18:00

  5. 17:15

  6. 16:41

  7. 15:30

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel