Abo
  • Services:
Anzeige
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

Anzeige

Erneut gibt es Ärger bei der Ausstellung von TLS-Zertifikaten. Wie Google-Entwickler Adam Langley berichtet, hat eine Firma namens MCS offenbar unberechtigterweise Zertifikate für Google und diverse andere Domains ausgestellt. Das Zertifikat von MCS Holdings wiederum wurde von der chinesischen Zertifizierungsstelle CNNIC unterschrieben, die von allen gängigen Browsern akzeptiert wird.

MCS betreibt Man-in-the-Middle-Proxies

MCS ist ein ägyptischer Konzern, der diverse Dienstleistungen im Zusammenhang mit Netzwerkequipment anbietet. Laut Langley hatte MCS einen sogenannten Man-in-the-Middle-Proxy betrieben. Derartige Proxy-Lösungen erstellen bei jedem Zugriff auf eine HTTPS-verschlüsselte Webseite live ein neues Zertifikat und signieren dies. Dass dabei einiges schiefgehen kann, zeigten zuletzt die Vorfälle um Superfish und Privdog.

Üblicherweise arbeiten derartige Man-in-the-Middle-Proxies so, dass ein passendes Zertifikat im Browser installiert wird. Doch MCS wollte offenbar für seinen Proxy diesen Weg vermeiden und erstellte Zertifikate, die von allen Browsern akzeptiert werden. Das ist ein schwerwiegender Bruch der Regeln, die für Zertifizierungsstellen gelten. Google hat inzwischen über seine CRLset-Technologie das Zertifikat von MCS gesperrt, Mozilla wird eine entsprechende Sperrung mit dem nächsten Update vornehmen.

Das Zwischenzertifikat von MCS wurde von der chinesischen Zertifizierungsstelle CNNIC signiert. CNNIC ist eine dem chinesischen Informationsministerium unterstellte Organisation. Die Aufnahme von CNNIC in die gängigen Browser erfolgte vor einigen Jahren und war damals nicht unstrittig. Warum eine der chinesischen Regierung unterstellte Organisation ein Zertifikat für einen ägyptischen Telekommunikationskonzern ausgestellt hat, ist unklar. Wie Adam Langley auf Twitter mitteilte, geht er davon aus, dass der Man-in-the-Middle-Proxy von MCS nur intern für den Datenverkehr der eigenen Mitarbeiter genutzt wurde.

Der Vorfall zeigt erneut, wie fragil das System der Zertifizierungsstellen ist. Erst vor wenigen Tagen war bekanntgeworden, dass sich ein Unbekannter ein Zertifikat für die Microsoft-Domain live.fi ausstellen lassen konnte. Während jedoch in dem Fall die Schuld bei Microsoft lag - da der Konzern einem Nutzer das Anlegen von privilegierten Adressen erlaubt hatte -, liegt im aktuellen Fall die Schuld eindeutig bei den Zertifizierungsstellen.

Key Pinning hätte Angriff verhindert

Es gibt verschiedene Ansätze, die Sicherheit des Zertifikatssystems zu stärken. Adam Langley weist darauf hin, dass aktuelle Versionen von Chrome und Firefox das entsprechende Zertifikat von MCS für Google-Domains nicht akzeptiert hätten. Der Einsatz von Key Pinning hätte das verhindert. Andere Browser wie Safari und der Internet Explorer unterstützen Key Pinning jedoch nicht. Auch das von Google entwickelte System Certificate Transparency könnte hier helfen.

Ebenfalls schmerzhaft deutlich wird durch den Vorfall, dass das Zurückziehen von Zertifikaten im aktuellen System praktisch unmöglich ist. Zwar gibt es ein System namens OCSP, mit dem die Gültigkeit von Zertifikaten live geprüft werden kann, aber OCSP wird von aktuellen Browsern entweder überhaupt nicht oder nur in unsicherer Weise implementiert.


eye home zur Startseite
Mingfu 24. Mär 2015

DANE wird nicht kommen, weil es eine Frickelei auf Basis des dafür nicht gedachten DNS...

Schnarchnase 24. Mär 2015

Deine Punkte sind durchaus richtig, aber ich sehe auch keinen Hinderungsgrund warum man...



Anzeige

Stellenmarkt
  1. DIEBOLD NIXDORF, Paderborn
  2. Continental AG, Ingolstadt
  3. Swiss Post Solutions GmbH, Bamberg
  4. dSPACE GmbH, Paderborn


Anzeige
Top-Angebote
  1. 383,14€ - 30€ MSI-Cashback
  2. 44,00€ für 1 Modul oder 88,00€ für 2 Module)
  3. 29,37€

Folgen Sie uns
       


  1. QD-LCD mit LED-BLU

    Forscher kritisieren Samsungs QLED-Marketing

  2. Amazon, Maxdome, Netflix und Co.

    EU will europäische Filmquote etablieren

  3. XPS 13 (9365) im Test

    Dells Convertible zeigt alte Stärken und neue Schwächen

  4. Glaskorrosion

    CCDs in alten Leicas werden nicht mehr gratis ausgetauscht

  5. Zweitbildschirm

    Duet Display macht iPad Pro zum Zeichentablett für Mac und PC

  6. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  7. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  8. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  9. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  10. Matebook X

    Huawei stellt erstes Notebook vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Yodobashi und Bic Camera: Im Rausch der Netzwerkkabel
Yodobashi und Bic Camera
Im Rausch der Netzwerkkabel
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Preisschild Media Markt nennt 7.998-Euro-Literpreis für Druckertinte

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  2. Beddit Apple kauft Schlaf-Tracker-Hersteller
  3. Smartwatch Huawei Watch bekommt Android Wear 2.0

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. Die Zukunft schon heute...

    VigarLunaris | 10:14

  2. Re: Gute Massnahme !!!

    d0p3fish | 10:14

  3. Re: Spulenfiepen!?

    nopy | 10:13

  4. Re: Machen wir es wie Trump

    Muhaha | 10:12

  5. Re: echt jetzt?

    Fuzzy Dunlop | 10:12


  1. 10:00

  2. 09:35

  3. 09:03

  4. 07:28

  5. 07:14

  6. 16:58

  7. 16:10

  8. 15:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel