Abo
  • Services:
Anzeige
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

Anzeige

Erneut gibt es Ärger bei der Ausstellung von TLS-Zertifikaten. Wie Google-Entwickler Adam Langley berichtet, hat eine Firma namens MCS offenbar unberechtigterweise Zertifikate für Google und diverse andere Domains ausgestellt. Das Zertifikat von MCS Holdings wiederum wurde von der chinesischen Zertifizierungsstelle CNNIC unterschrieben, die von allen gängigen Browsern akzeptiert wird.

MCS betreibt Man-in-the-Middle-Proxies

MCS ist ein ägyptischer Konzern, der diverse Dienstleistungen im Zusammenhang mit Netzwerkequipment anbietet. Laut Langley hatte MCS einen sogenannten Man-in-the-Middle-Proxy betrieben. Derartige Proxy-Lösungen erstellen bei jedem Zugriff auf eine HTTPS-verschlüsselte Webseite live ein neues Zertifikat und signieren dies. Dass dabei einiges schiefgehen kann, zeigten zuletzt die Vorfälle um Superfish und Privdog.

Üblicherweise arbeiten derartige Man-in-the-Middle-Proxies so, dass ein passendes Zertifikat im Browser installiert wird. Doch MCS wollte offenbar für seinen Proxy diesen Weg vermeiden und erstellte Zertifikate, die von allen Browsern akzeptiert werden. Das ist ein schwerwiegender Bruch der Regeln, die für Zertifizierungsstellen gelten. Google hat inzwischen über seine CRLset-Technologie das Zertifikat von MCS gesperrt, Mozilla wird eine entsprechende Sperrung mit dem nächsten Update vornehmen.

Das Zwischenzertifikat von MCS wurde von der chinesischen Zertifizierungsstelle CNNIC signiert. CNNIC ist eine dem chinesischen Informationsministerium unterstellte Organisation. Die Aufnahme von CNNIC in die gängigen Browser erfolgte vor einigen Jahren und war damals nicht unstrittig. Warum eine der chinesischen Regierung unterstellte Organisation ein Zertifikat für einen ägyptischen Telekommunikationskonzern ausgestellt hat, ist unklar. Wie Adam Langley auf Twitter mitteilte, geht er davon aus, dass der Man-in-the-Middle-Proxy von MCS nur intern für den Datenverkehr der eigenen Mitarbeiter genutzt wurde.

Der Vorfall zeigt erneut, wie fragil das System der Zertifizierungsstellen ist. Erst vor wenigen Tagen war bekanntgeworden, dass sich ein Unbekannter ein Zertifikat für die Microsoft-Domain live.fi ausstellen lassen konnte. Während jedoch in dem Fall die Schuld bei Microsoft lag - da der Konzern einem Nutzer das Anlegen von privilegierten Adressen erlaubt hatte -, liegt im aktuellen Fall die Schuld eindeutig bei den Zertifizierungsstellen.

Key Pinning hätte Angriff verhindert

Es gibt verschiedene Ansätze, die Sicherheit des Zertifikatssystems zu stärken. Adam Langley weist darauf hin, dass aktuelle Versionen von Chrome und Firefox das entsprechende Zertifikat von MCS für Google-Domains nicht akzeptiert hätten. Der Einsatz von Key Pinning hätte das verhindert. Andere Browser wie Safari und der Internet Explorer unterstützen Key Pinning jedoch nicht. Auch das von Google entwickelte System Certificate Transparency könnte hier helfen.

Ebenfalls schmerzhaft deutlich wird durch den Vorfall, dass das Zurückziehen von Zertifikaten im aktuellen System praktisch unmöglich ist. Zwar gibt es ein System namens OCSP, mit dem die Gültigkeit von Zertifikaten live geprüft werden kann, aber OCSP wird von aktuellen Browsern entweder überhaupt nicht oder nur in unsicherer Weise implementiert.


eye home zur Startseite
Mingfu 24. Mär 2015

DANE wird nicht kommen, weil es eine Frickelei auf Basis des dafür nicht gedachten DNS...

Schnarchnase 24. Mär 2015

Deine Punkte sind durchaus richtig, aber ich sehe auch keinen Hinderungsgrund warum man...



Anzeige

Stellenmarkt
  1. Apex Tool Holding Germany GmbH & Co. KG, Westhausen, Besigheim
  2. über Duerenhoff GmbH, Raum Kamen
  3. Schwäbische Werkzeugmaschinen GmbH, Schramberg - Waldmössingen
  4. ASTERION Germany GmbH, Viernheim/Rüsselsheim


Anzeige
Spiele-Angebote
  1. 15,99€
  2. 2,50€
  3. 10,99€

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. High Speed Rail Chinas Züge fahren bald wieder mit 350 km/h

  1. Re: Unpassender Vergleich

    Theoretiker | 13:26

  2. Re: heißt die app

    Theoretiker | 13:24

  3. Re: Wir wäre es denn mit einer Abfrage?

    tribal-sunrise | 13:23

  4. Re: Kann man sich da auch für einzelne Personen...

    Theoretiker | 13:23

  5. Re: Was passiert mit nicht angenommenen Paketen?

    Theoretiker | 13:22


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel