Original-URL des Artikels: https://www.golem.de/news/internetsicherheit-falsche-zertifikate-aus-franzoesischem-ministerium-1312-103239.html    Veröffentlicht: 09.12.2013 11:40    Kurz-URL: https://glm.io/103239

Internetsicherheit

Falsche Zertifikate aus französischem Ministerium

Falsche digitale Zertifikate sind gegenwärtig im Umlauf. Sie wurden irrtümlicherweise von der französischen Zertifizierungsstelle IGC/A signiert. Dort wurden die Zertifikate bereits widerrufen.

Wie Google vermeldet, sind etliche gefälschte Zertifikate im Umlauf, mit denen auch Domänen des Suchmaschinenanbieters signiert wurden. Google hatte kurz nach ihrer Entdeckung die Zertifikate blockiert. Sie wurden irrtümlicherweise von einer Zwischenzertifizierungsstelle (Intermediate Certificate Authority) ausgestellt, die Google als die französische ANSSI (Agence nationale de la sécurité des systèmes d'information) ausmachte. Dort wurde das Zertifikat umgehend zurückgezogen.

Das besagte Zwischenzertifikat soll auf einem kommerziellen Gerät im französischen Finanzministerium eingesetzt worden sein. In dem privaten Netzwerk soll das Zertifikat eingesetzt worden sein, um den verschlüsselten Datenverkehr zu überprüfen. Die Mitarbeiter dort sollen darüber informiert worden sein. Es handele sich um eine Maßnahme, die die IT-Sicherheit im Finanzministerium überprüfen und verbessern solle, schreibt die ANSSI auf ihrer Webseite.

Durch menschlichen Fehler im Umlauf

Wegen eines menschlichen Fehlers soll das Zertifikat aber ins öffentliche Netz gelangt sein. Auf Grund des Lecks wolle die ANSSI aber den gesamten Zertifizierungsprozess (infrastructure de gestion de clés cryptographiques, IGC) der ANSSI erneut überprüfen, um zu verhindern, dass "so etwas erneut vorkommt."

Laut ANSSI habe das falsche Zwischenzertifikat zu keiner Zeit eine Gefahr für das Netzwerk der französischen Behörden noch für das öffentliche Netzwerk dargestellt und das fragliche Zertifikat wurde umgehend zurückgezogen.

Mehr Transparenz gefordert

Laut Google können solche Zertifikate einfach genutzt werden, um mit eigenen erstellten Zertifikaten andere Webseiten zu imitieren. Im Chrome-Browser sei das Zwischenzertifikat inzwischen widerrufen worden, schreibt Adam Langley in seinem Blog. Um solche Zwischenfälle in Zukunft zu verhindern, wirbt Langley nochmals für eine erweiterte Transparenz für Zertifikate.

Mit dem Protokoll Certificate Transparency sollen sämtliche Zertifikate auf öffentlichen Log-Servern registriert werden. Damit sollen Zertifizierungsstellen identifiziert werden, die böswillige Zertifikate ausstellen. Es lässt sich zwar nicht verhindern, dass ein böswilliges Zertifikat ausgestellt wird, es lässt sich aber auch nicht geheim halten.  (jt)


Verwandte Artikel:
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )
Große Koalition: Evaluierungsverweigerer Maas wird Außenminister   
(09.03.2018, https://glm.io/133249 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )

© 1997–2020 Golem.de, https://www.golem.de/