Abo
  • Services:

Zertifikatsfälschungen: Microsoft-Update sperrt indische Zertifizierungsstelle

Nach dem Auftauchen von Zertifikatsfälschungen des indischen National Informatics Centre (NIC) liefert Microsoft ein Windows-Update, welches die Zertifikate sperrt. Ursprünglich war nur von vier gefälschten Zertifikaten die Rede, inzwischen sind 45 bekannt.

Artikel veröffentlicht am , Hanno Böck
Nach dem Update sperrt Windows die betroffene Zertifizierungsstelle.
Nach dem Update sperrt Windows die betroffene Zertifizierungsstelle. (Bild: Screenshot)

Microsoft hat auf das Auftauchen von gefälschten Zertifikaten, die vom indischen National Informatics Centre (NIC) ausgestellt wurden, reagiert. Im Microsoft Security Advisory 2982792 schreibt der Softwarekonzern, dass für alle aktuellen Windows-Versionen nun Updates bereitstehen, die das Zwischenzertifikat der NIC-Zertifizierungsstelle sperren. Aus dem Advisory geht auch hervor, dass das Ausmaß der Zertifikatsfälschungen weit größer ist, als die Verantwortlichen bislang zugegeben haben.

Stellenmarkt
  1. KOSTAL Holding, Lüdenscheid
  2. Finanzbehörde Steuerverwaltung, Hamburg

Ursprünglich hatte Google auf das Auftauchen der gefälschten Zertifikate aufmerksam gemacht. Demnach hat das indische National Informatics Centre mehrere Zertifikate für Domains von Yahoo und Google ausgestellt. Das Zertifikat des National Informatics Centre wiederum ist von einer der indischen Regierung unterstellten Zertifizierungsstelle namens India CCA signiert. India CCA wird seit 2011 im Zertifikats-Store von Microsoft Windows mitgeliefert.

45 Domains von Google und Yahoo betroffen

Gegenüber Google hatte India CCA behauptet, dass es insgesamt vier gefälschte Zertifikate gebe. Google selbst hatte in einem Blog-Beitrag bereits darauf hingewiesen, dass sie von mehr gefälschten Zertifikaten wissen. Aus dem Microsoft-Advisory geht nun hervor, dass offenbar bislang 45 gefälschte Zertifikate für unterschiedliche Domainnamen aufgetaucht sind. Alle betreffen verschiedene Services von Google und Yahoo.

Unklar ist bislang, was der Hintergrund der Zertifikatsfälschungen ist. Es ist daher durchaus möglich, dass noch weitere gefälschte Zertifikate im Umlauf sind. Auch ist bisher nicht bekannt, ob und in welcher Form die Zertifikate für Angriffe auf Nutzer eingesetzt wurden. Mit einem gefälschten Zertifikat könnte man mittels einer Man-in-the-Middle-Attacke beliebige Inhalte bei verschlüsselten HTTPS-Verbindungen mitlesen oder manipulieren.

India CCA wird weiterhin von Windows akzeptiert

Microsoft hat mit dem Update nur das Zertifikat des National Informatics Centre (NIC) gesperrt. Andere Zertifikate, die direkt oder indirekt von India CCA ausgestellt werden, werden weiterhin ohne Einschränkung akzeptiert. Google hat in seinen Chrome-Browser eine zusätzliche Beschränkung eingebaut: India CCA darf künftig nur noch Zertifikate für bestimmte indische Subdomains ausstellen.

Das Microsoft-Update für die Zertifikatssperre wird in Windows 8 und Windows Server 2012 automatisch installiert. In Windows 7 und Windows Server 2008 wurde der Update-Mechanismus für Zertifikate 2012 eingeführt. Wer ein aktuelles System besitzt, sollte daher das Update ebenfalls automatisch erhalten. Bislang gibt es kein Update für Windows Server 2003, das soll aber in Kürze folgen. Für das nicht mehr unterstützte Windows XP wird es überhaupt kein Update geben.

Außer Microsoft hat bislang niemand das Root-Zertifikat von India CCA in seine Zertifikatslisten aufgenommen. Andere Betriebssysteme sind daher nicht betroffen. Mozilla Firefox und Opera haben eigene Zertifikatslisten und sind daher auch unter Windows nicht von dem Vorfall betroffen.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. bei Alternate kaufen

elgooG 14. Jul 2014

Die werden auch nicht mehr verteilt. Updates kommen nur mehr über Microsoft Update und...

elgooG 14. Jul 2014

Was glaubst du warum die Updates für Windows waren und nicht für den IE ? Windows...


Folgen Sie uns
       


Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich

Link 300 und Link 500 von JBL, Onkyos P3, Panasonics GA10 sowie Apples Homepod treten in unserem Klangvergleich gegeneinander an. Die beiden JBL-Lautsprecher lassen die Konkurrenz blass aussehen, selbst der gar nicht schlecht klingende Homepod hat dann das Nachsehen.

Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich Video aufrufen
CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
    Business-Festival
    Cebit verliert 70.000 Besucher und ist hochzufrieden

    Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

    1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    Elektroautos: Ladesäulen und die Tücken des Eichrechts
    Elektroautos
    Ladesäulen und die Tücken des Eichrechts

    Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
    Eine Analyse von Friedhelm Greis

    1. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
    2. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos
    3. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse

      •  /