Abo
  • Services:
Anzeige
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt.
Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca)

India CCA: Gefälschte Zertifikate für Google-Domains

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Anzeige

Offenbar sind von einer indischen Zertifizierungsstelle mehrere gefälschte Zertifikate ausgestellt worden. Darüber berichtet Google-Entwickler Adam Langley in einem Blogeintrag. Demnach wurde Google auf die Existenz mehrerer Zertifikate für Google-eigene Domains aufmerksam, die nicht von Google selbst erstellt wurden. Der Inhaber des gefälschten Zertifikats könnte damit HTTPS-Verbindungen zu Webseiten von Google mit Hilfe einer Man-in-the-Middle-Attacke mitlesen oder manipulieren.

Signiert wurden die Zertifikate von einer Zertifizierungsstelle des indischen National Informatics Centre (NIC), einer staatlichen Wissenschaftsorganisation. Das Zertifikat des National Informatics Centre wiederum wurde signiert von India CCA, einer Zertifizierungsstelle der indischen Regierung.

Root-Zertifikat wird nur von Windows akzeptiert

Das Root-Zertifikat von India CCA wurde im Oktober 2011 in den Zertifikats-Store von Windows aufgenommen. Akzeptiert wird es damit von allen Browsern, die die Windows-eigenen Kryptographiefunktionen für TLS-Verbindungen nutzen. Bei den Browsern betrifft das den Internet Explorer und Google Chrome. Die Liste der akzeptierten Zertifizierungsstellen wird von Windows automatisch online aktualisiert - eine Vorgehensweise, die in der Vergangenheit schon für Kritik gesorgt hat.

Mozilla Firefox nutzt eine eigene Liste von Root-Zertifikaten, die India CCA nicht enthält, somit sind Firefox-Nutzer vom Angriff nicht betroffen. In Chrome wäre zumindest ein Angriff auf Google-eigene Dienste ebenfalls nicht möglich, denn Googles eigener Browser akzeptiert für die Dienste des Suchmaschinenkonzerns nur eine beschränkte Liste von Zertifizierungsstellen. Allerdings sind die für Google-eigene Domains ausgestellten Zertifikate offenbar nicht die einzigen gefälschten Zertifikate von India CCA.

Gegenüber Google hat India CCA inzwischen eine Stellungnahme abgegeben. Demnach seien insgesamt nur vier gefälschte Zertifikate ausgestellt worden, drei für Domains von Google und eine für Domains von Yahoo. Doch Google schreibt, dass es bereits weiß, dass neben diesen vier Zertifikaten weitere gefälschte Zertifikate von India CCA im Umlauf sind.

Ausstellung von Zertifikaten eingestellt

Auf der Webseite der Zertifizierungsstelle des National Informatics Centre ist zurzeit nur zu lesen, dass aus Sicherheitsgründen die Ausstellung von Zertifikaten vorerst eingestellt wurde. Das Zertifikat des National Informatics Centre (NIC) wurde inzwischen von India CCA zurückgezogen, damit sind alle ausgestellten Fake-Zertifikate ungültig. Das hilft allerdings nur eingeschränkt, denn die Prüfung der Gültigkeit von Zertifikaten ist zurzeit in keinem Browser in sicherer Weise implementiert.

Google hat inzwischen für den eigenen Chrome-Browser reagiert: Der Google-Browser wird alle bekannten gefälschten Zertifikate automatisch blockieren. Weiterhin akzeptiert Chrome künftig Zertifikate von India CCA nur noch für eine eingeschränkte Liste von Subdomains, darunter beispielsweise Seiten der indischen Regierung. Ein von India CCA signiertes Zertifikat für google.com oder yahoo.com würde demnach nicht mehr als gültig akzeptiert.

Keine öffentliche Reaktion auf den Vorfall gibt es bisher von Microsoft. Das ist insofern bemerkenswert, als außer Microsoft die Zertifikate von India CCA bislang niemand akzeptiert. Bei Mozilla wurde die Aufnahme des Root-Zertifikats 2010 beantragt, bislang wurde noch nicht darüber entschieden. Auch in Android, OS X und iOS werden diese Zertifikate bislang nicht akzeptiert. Wir haben die Microsoft-Pressestelle um eine Stellungnahme zu dem Vorfall gebeten und werden diesen Artikel aktualisieren, sobald uns diese vorliegt.

Ungelöste Probleme des Systems der Zertifizierungsstellen

Das Auftauchen der gefälschten Zertifikate macht erneut auf die ungelösten Probleme des gesamten Systems der TLS-Zertifizierungsstellen aufmerksam. Jede Zertifizierungsstelle kann Zertifikate für beliebige Domains ausstellen, das gesamte System ist damit nur so sicher wie die schwächste Zertifizierungsstelle. Browser akzeptieren automatisch Hunderte von Zertifizierungsstellen und jede davon kann wiederum beliebig viele Unterzertifizierungsstellen ernennen.

In den vergangenen Jahren gab es eine ganze Reihe von ähnlichen Vorfällen, etwa bei Comodo, einer der größten Zertifizierungsstellen überhaupt, bei der inzwischen insolventen niederländischen Firma Diginotar und bei einigen anderen. Folgen hatte das bislang kaum. Es gibt verschiedene Vorschläge, wie man das System der Zertifizierungsstellen stärken oder komplett ersetzen könnte, doch bislang befinden sich diese alle lediglich im Entwurfsstadium.


eye home zur Startseite
elcravo 11. Jul 2014

Das du, wenn du http://www.google.de in deinen Browser eintippst auf https://www.google...



Anzeige

Stellenmarkt
  1. SOFTSHIP AG, Hamburg
  2. AVS GmbH Datamanagement & Customer Care, Bayreuth
  3. Experis GmbH, Kiel
  4. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn, Darmstadt


Anzeige
Top-Angebote
  1. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  2. 24,49€
  3. 44,99€

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr
  2. Asus Tinker Board im Test Buntes Lotterielos rechnet schnell

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. haben es ard und zdf denn mitterweile schon...

    Prinzeumel | 03:29

  2. Re: Hähhh...

    Ninos | 03:04

  3. Re: Die Bandbreite ist eine Sache, die Latenz...

    -fraggl- | 03:01

  4. Re: Bin ich eig. der einzige, der an die Traffic...

    sofries | 01:53

  5. Re: Frequenzvermüllung

    ShaDdoW_EyE | 01:51


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel