Zertifikatsfälschungen: Microsoft-Update sperrt indische Zertifizierungsstelle

Microsoft hat auf das Auftauchen von gefälschten Zertifikaten, die vom indischen National Informatics Centre (NIC) ausgestellt wurden, reagiert. Im Microsoft Security Advisory 2982792 schreibt der Softwarekonzern, dass für alle aktuellen Windows-Versionen nun Updates bereitstehen, die das Zwischenzertifikat der NIC-Zertifizierungsstelle sperren. Aus dem Advisory geht auch hervor, dass das Ausmaß der Zertifikatsfälschungen weit größer ist, als die Verantwortlichen bislang zugegeben haben.

Ursprünglich hatte Google auf das Auftauchen der gefälschten Zertifikate aufmerksam gemacht. Demnach hat das indische National Informatics Centre mehrere Zertifikate für Domains von Yahoo und Google ausgestellt. Das Zertifikat des National Informatics Centre wiederum ist von einer der indischen Regierung unterstellten Zertifizierungsstelle namens India CCA signiert. India CCA wird seit 2011 im Zertifikats-Store von Microsoft Windows mitgeliefert.

45 Domains von Google und Yahoo betroffen

Gegenüber Google hatte India CCA behauptet, dass es insgesamt vier gefälschte Zertifikate gebe. Google selbst hatte in einem Blog-Beitrag bereits darauf hingewiesen, dass sie von mehr gefälschten Zertifikaten wissen. Aus dem Microsoft-Advisory geht nun hervor, dass offenbar bislang 45 gefälschte Zertifikate für unterschiedliche Domainnamen aufgetaucht sind. Alle betreffen verschiedene Services von Google und Yahoo.

Unklar ist bislang, was der Hintergrund der Zertifikatsfälschungen ist. Es ist daher durchaus möglich, dass noch weitere gefälschte Zertifikate im Umlauf sind. Auch ist bisher nicht bekannt, ob und in welcher Form die Zertifikate für Angriffe auf Nutzer eingesetzt wurden. Mit einem gefälschten Zertifikat könnte man mittels einer Man-in-the-Middle-Attacke beliebige Inhalte bei verschlüsselten HTTPS-Verbindungen mitlesen oder manipulieren.

India CCA wird weiterhin von Windows akzeptiert

Microsoft hat mit dem Update nur das Zertifikat des National Informatics Centre (NIC) gesperrt. Andere Zertifikate, die direkt oder indirekt von India CCA ausgestellt werden, werden weiterhin ohne Einschränkung akzeptiert. Google hat in seinen Chrome-Browser eine zusätzliche Beschränkung eingebaut: India CCA darf künftig nur noch Zertifikate für bestimmte indische Subdomains ausstellen.

Das Microsoft-Update für die Zertifikatssperre wird in Windows 8 und Windows Server 2012 automatisch installiert. In Windows 7 und Windows Server 2008 wurde der Update-Mechanismus für Zertifikate 2012 eingeführt. Wer ein aktuelles System besitzt, sollte daher das Update ebenfalls automatisch erhalten. Bislang gibt es kein Update für Windows Server 2003, das soll aber in Kürze folgen. Für das nicht mehr unterstützte Windows XP wird es überhaupt kein Update geben.

Außer Microsoft hat bislang niemand das Root-Zertifikat von India CCA in seine Zertifikatslisten aufgenommen. Andere Betriebssysteme sind daher nicht betroffen. Mozilla Firefox und Opera haben eigene Zertifikatslisten und sind daher auch unter Windows nicht von dem Vorfall betroffen.