TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

Artikel veröffentlicht am , Hanno Böck
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu.
Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot)

Erneut gibt es Ärger bei der Ausstellung von TLS-Zertifikaten. Wie Google-Entwickler Adam Langley berichtet, hat eine Firma namens MCS offenbar unberechtigterweise Zertifikate für Google und diverse andere Domains ausgestellt. Das Zertifikat von MCS Holdings wiederum wurde von der chinesischen Zertifizierungsstelle CNNIC unterschrieben, die von allen gängigen Browsern akzeptiert wird.

MCS betreibt Man-in-the-Middle-Proxies

Stellenmarkt
  1. Softwareentwickler:in Kfz-Versicherung
    HUK-COBURG Versicherungsgruppe, Coburg
  2. IT Business Partner (m/f/d)
    DS Smith Paper Deutschland GmbH, Aschaffenburg (Home-Office)
Detailsuche

MCS ist ein ägyptischer Konzern, der diverse Dienstleistungen im Zusammenhang mit Netzwerkequipment anbietet. Laut Langley hatte MCS einen sogenannten Man-in-the-Middle-Proxy betrieben. Derartige Proxy-Lösungen erstellen bei jedem Zugriff auf eine HTTPS-verschlüsselte Webseite live ein neues Zertifikat und signieren dies. Dass dabei einiges schiefgehen kann, zeigten zuletzt die Vorfälle um Superfish und Privdog.

Üblicherweise arbeiten derartige Man-in-the-Middle-Proxies so, dass ein passendes Zertifikat im Browser installiert wird. Doch MCS wollte offenbar für seinen Proxy diesen Weg vermeiden und erstellte Zertifikate, die von allen Browsern akzeptiert werden. Das ist ein schwerwiegender Bruch der Regeln, die für Zertifizierungsstellen gelten. Google hat inzwischen über seine CRLset-Technologie das Zertifikat von MCS gesperrt, Mozilla wird eine entsprechende Sperrung mit dem nächsten Update vornehmen.

Das Zwischenzertifikat von MCS wurde von der chinesischen Zertifizierungsstelle CNNIC signiert. CNNIC ist eine dem chinesischen Informationsministerium unterstellte Organisation. Die Aufnahme von CNNIC in die gängigen Browser erfolgte vor einigen Jahren und war damals nicht unstrittig. Warum eine der chinesischen Regierung unterstellte Organisation ein Zertifikat für einen ägyptischen Telekommunikationskonzern ausgestellt hat, ist unklar. Wie Adam Langley auf Twitter mitteilte, geht er davon aus, dass der Man-in-the-Middle-Proxy von MCS nur intern für den Datenverkehr der eigenen Mitarbeiter genutzt wurde.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Der Vorfall zeigt erneut, wie fragil das System der Zertifizierungsstellen ist. Erst vor wenigen Tagen war bekanntgeworden, dass sich ein Unbekannter ein Zertifikat für die Microsoft-Domain live.fi ausstellen lassen konnte. Während jedoch in dem Fall die Schuld bei Microsoft lag - da der Konzern einem Nutzer das Anlegen von privilegierten Adressen erlaubt hatte -, liegt im aktuellen Fall die Schuld eindeutig bei den Zertifizierungsstellen.

Key Pinning hätte Angriff verhindert

Es gibt verschiedene Ansätze, die Sicherheit des Zertifikatssystems zu stärken. Adam Langley weist darauf hin, dass aktuelle Versionen von Chrome und Firefox das entsprechende Zertifikat von MCS für Google-Domains nicht akzeptiert hätten. Der Einsatz von Key Pinning hätte das verhindert. Andere Browser wie Safari und der Internet Explorer unterstützen Key Pinning jedoch nicht. Auch das von Google entwickelte System Certificate Transparency könnte hier helfen.

Ebenfalls schmerzhaft deutlich wird durch den Vorfall, dass das Zurückziehen von Zertifikaten im aktuellen System praktisch unmöglich ist. Zwar gibt es ein System namens OCSP, mit dem die Gültigkeit von Zertifikaten live geprüft werden kann, aber OCSP wird von aktuellen Browsern entweder überhaupt nicht oder nur in unsicherer Weise implementiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Lego Builder's Journey im Test
Knuffige Klötzchen knobeln

Zwei Figuren und viele Welten: Lego Builder's Journey erzählt die Geschichte einer Reise - und sieht mit Raytracing verblüffend real aus.
Ein Test von Marc Sauter

Lego Builder's Journey im Test: Knuffige Klötzchen knobeln
Artikel
  1. Forscher: Legalisierung von Online-Casinos birgt Suchtgefahren
    Forscher
    Legalisierung von Online-Casinos birgt Suchtgefahren

    Am 1. Juli legalisiert der Glücksspiel-Staatsvertrag Online-Spielbanken in Deutschland. Forscher warnen vor den Suchtgefahren.

  2. Kriminalität: Zoll gelingt Schlag gegen Waffenhandel im Darknet
    Kriminalität
    Zoll gelingt Schlag gegen Waffenhandel im Darknet

    13 Schusswaffen und fast 1.400 Patronen konnte die Polizei bei einem illegalen Waffenhändler und seinen Kunden sicherstellen.

  3. Anti-Virus: John McAfee tot im Gefängnis aufgefunden
    Anti-Virus
    John McAfee tot im Gefängnis aufgefunden

    John McAfee ist tot in einer Gefängniszelle gefunden worden. Ihm drohte eine Auslieferung von Spanien in die USA.

Mingfu 24. Mär 2015

DANE wird nicht kommen, weil es eine Frickelei auf Basis des dafür nicht gedachten DNS...

Schnarchnase 24. Mär 2015

Deine Punkte sind durchaus richtig, aber ich sehe auch keinen Hinderungsgrund warum man...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • 6 Blu-rays für 30€ [Werbung]
    •  /