Abo
  • Services:

TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

Artikel veröffentlicht am , Hanno Böck
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

Erneut gibt es Ärger bei der Ausstellung von TLS-Zertifikaten. Wie Google-Entwickler Adam Langley berichtet, hat eine Firma namens MCS offenbar unberechtigterweise Zertifikate für Google und diverse andere Domains ausgestellt. Das Zertifikat von MCS Holdings wiederum wurde von der chinesischen Zertifizierungsstelle CNNIC unterschrieben, die von allen gängigen Browsern akzeptiert wird.

MCS betreibt Man-in-the-Middle-Proxies

Stellenmarkt
  1. STW Sensor-Technik Wiedemann GmbH, Kaufbeuren
  2. amedes Medizinische Dienstleistungen GmbH, Hamburg

MCS ist ein ägyptischer Konzern, der diverse Dienstleistungen im Zusammenhang mit Netzwerkequipment anbietet. Laut Langley hatte MCS einen sogenannten Man-in-the-Middle-Proxy betrieben. Derartige Proxy-Lösungen erstellen bei jedem Zugriff auf eine HTTPS-verschlüsselte Webseite live ein neues Zertifikat und signieren dies. Dass dabei einiges schiefgehen kann, zeigten zuletzt die Vorfälle um Superfish und Privdog.

Üblicherweise arbeiten derartige Man-in-the-Middle-Proxies so, dass ein passendes Zertifikat im Browser installiert wird. Doch MCS wollte offenbar für seinen Proxy diesen Weg vermeiden und erstellte Zertifikate, die von allen Browsern akzeptiert werden. Das ist ein schwerwiegender Bruch der Regeln, die für Zertifizierungsstellen gelten. Google hat inzwischen über seine CRLset-Technologie das Zertifikat von MCS gesperrt, Mozilla wird eine entsprechende Sperrung mit dem nächsten Update vornehmen.

Das Zwischenzertifikat von MCS wurde von der chinesischen Zertifizierungsstelle CNNIC signiert. CNNIC ist eine dem chinesischen Informationsministerium unterstellte Organisation. Die Aufnahme von CNNIC in die gängigen Browser erfolgte vor einigen Jahren und war damals nicht unstrittig. Warum eine der chinesischen Regierung unterstellte Organisation ein Zertifikat für einen ägyptischen Telekommunikationskonzern ausgestellt hat, ist unklar. Wie Adam Langley auf Twitter mitteilte, geht er davon aus, dass der Man-in-the-Middle-Proxy von MCS nur intern für den Datenverkehr der eigenen Mitarbeiter genutzt wurde.

Der Vorfall zeigt erneut, wie fragil das System der Zertifizierungsstellen ist. Erst vor wenigen Tagen war bekanntgeworden, dass sich ein Unbekannter ein Zertifikat für die Microsoft-Domain live.fi ausstellen lassen konnte. Während jedoch in dem Fall die Schuld bei Microsoft lag - da der Konzern einem Nutzer das Anlegen von privilegierten Adressen erlaubt hatte -, liegt im aktuellen Fall die Schuld eindeutig bei den Zertifizierungsstellen.

Key Pinning hätte Angriff verhindert

Es gibt verschiedene Ansätze, die Sicherheit des Zertifikatssystems zu stärken. Adam Langley weist darauf hin, dass aktuelle Versionen von Chrome und Firefox das entsprechende Zertifikat von MCS für Google-Domains nicht akzeptiert hätten. Der Einsatz von Key Pinning hätte das verhindert. Andere Browser wie Safari und der Internet Explorer unterstützen Key Pinning jedoch nicht. Auch das von Google entwickelte System Certificate Transparency könnte hier helfen.

Ebenfalls schmerzhaft deutlich wird durch den Vorfall, dass das Zurückziehen von Zertifikaten im aktuellen System praktisch unmöglich ist. Zwar gibt es ein System namens OCSP, mit dem die Gültigkeit von Zertifikaten live geprüft werden kann, aber OCSP wird von aktuellen Browsern entweder überhaupt nicht oder nur in unsicherer Weise implementiert.



Anzeige
Spiele-Angebote
  1. 12,99€ + 1,99€ Versand oder Abholung im Markt
  2. (-20%) 47,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 50,99€ mit Vorbesteller-Preisgarantie

Mingfu 24. Mär 2015

DANE wird nicht kommen, weil es eine Frickelei auf Basis des dafür nicht gedachten DNS...

Schnarchnase 24. Mär 2015

Deine Punkte sind durchaus richtig, aber ich sehe auch keinen Hinderungsgrund warum man...


Folgen Sie uns
       


Amazons Fire HD 10 Kids Edition - Hands on

Das Fire HD 10 Kids Edition ist das neue Kinder-Tablet von Amazon. Das Tablet entspricht dem normalen Fire HD 10 und wird mit speziellen Dreingaben ergänzt. So gibt es eine Gummiummantelung, um Stürze abzufangen. Außerdem gehört der Dienst Freetime Unlimited für ein Jahr ohne Aufpreis dazu. Das Fire HD 10 Kids Edition kostet 200 Euro. Falls das Tablet innerhalb von zwei Jahren nach dem Kauf kaputtgeht, wird es ausgetauscht.

Amazons Fire HD 10 Kids Edition - Hands on Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /