Abo
  • Services:

TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

Artikel veröffentlicht am , Hanno Böck
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

Erneut gibt es Ärger bei der Ausstellung von TLS-Zertifikaten. Wie Google-Entwickler Adam Langley berichtet, hat eine Firma namens MCS offenbar unberechtigterweise Zertifikate für Google und diverse andere Domains ausgestellt. Das Zertifikat von MCS Holdings wiederum wurde von der chinesischen Zertifizierungsstelle CNNIC unterschrieben, die von allen gängigen Browsern akzeptiert wird.

MCS betreibt Man-in-the-Middle-Proxies

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Bundeskriminalamt, Wiesbaden

MCS ist ein ägyptischer Konzern, der diverse Dienstleistungen im Zusammenhang mit Netzwerkequipment anbietet. Laut Langley hatte MCS einen sogenannten Man-in-the-Middle-Proxy betrieben. Derartige Proxy-Lösungen erstellen bei jedem Zugriff auf eine HTTPS-verschlüsselte Webseite live ein neues Zertifikat und signieren dies. Dass dabei einiges schiefgehen kann, zeigten zuletzt die Vorfälle um Superfish und Privdog.

Üblicherweise arbeiten derartige Man-in-the-Middle-Proxies so, dass ein passendes Zertifikat im Browser installiert wird. Doch MCS wollte offenbar für seinen Proxy diesen Weg vermeiden und erstellte Zertifikate, die von allen Browsern akzeptiert werden. Das ist ein schwerwiegender Bruch der Regeln, die für Zertifizierungsstellen gelten. Google hat inzwischen über seine CRLset-Technologie das Zertifikat von MCS gesperrt, Mozilla wird eine entsprechende Sperrung mit dem nächsten Update vornehmen.

Das Zwischenzertifikat von MCS wurde von der chinesischen Zertifizierungsstelle CNNIC signiert. CNNIC ist eine dem chinesischen Informationsministerium unterstellte Organisation. Die Aufnahme von CNNIC in die gängigen Browser erfolgte vor einigen Jahren und war damals nicht unstrittig. Warum eine der chinesischen Regierung unterstellte Organisation ein Zertifikat für einen ägyptischen Telekommunikationskonzern ausgestellt hat, ist unklar. Wie Adam Langley auf Twitter mitteilte, geht er davon aus, dass der Man-in-the-Middle-Proxy von MCS nur intern für den Datenverkehr der eigenen Mitarbeiter genutzt wurde.

Der Vorfall zeigt erneut, wie fragil das System der Zertifizierungsstellen ist. Erst vor wenigen Tagen war bekanntgeworden, dass sich ein Unbekannter ein Zertifikat für die Microsoft-Domain live.fi ausstellen lassen konnte. Während jedoch in dem Fall die Schuld bei Microsoft lag - da der Konzern einem Nutzer das Anlegen von privilegierten Adressen erlaubt hatte -, liegt im aktuellen Fall die Schuld eindeutig bei den Zertifizierungsstellen.

Key Pinning hätte Angriff verhindert

Es gibt verschiedene Ansätze, die Sicherheit des Zertifikatssystems zu stärken. Adam Langley weist darauf hin, dass aktuelle Versionen von Chrome und Firefox das entsprechende Zertifikat von MCS für Google-Domains nicht akzeptiert hätten. Der Einsatz von Key Pinning hätte das verhindert. Andere Browser wie Safari und der Internet Explorer unterstützen Key Pinning jedoch nicht. Auch das von Google entwickelte System Certificate Transparency könnte hier helfen.

Ebenfalls schmerzhaft deutlich wird durch den Vorfall, dass das Zurückziehen von Zertifikaten im aktuellen System praktisch unmöglich ist. Zwar gibt es ein System namens OCSP, mit dem die Gültigkeit von Zertifikaten live geprüft werden kann, aber OCSP wird von aktuellen Browsern entweder überhaupt nicht oder nur in unsicherer Weise implementiert.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Mingfu 24. Mär 2015

DANE wird nicht kommen, weil es eine Frickelei auf Basis des dafür nicht gedachten DNS...

Schnarchnase 24. Mär 2015

Deine Punkte sind durchaus richtig, aber ich sehe auch keinen Hinderungsgrund warum man...


Folgen Sie uns
       


Bright Memory Episode 1 - 10 Minuten Gameplay

Wir zeigen die ersten 10 Minuten von Bright Memory, dem actionreichen Indie-Ego-Shooter mit spektakulären Schwertkampf-Einlagen.

Bright Memory Episode 1 - 10 Minuten Gameplay Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


      •  /