Falsch vergebene Zertifikate ermöglichen Imitate von Google-Sites

Eine türkische Zertifizierungsstelle hat versehentlich Zertifikate ausgestellt, mit denen sich wiederum Zertifikate erstellen ließen, um beliebige Websites vorzutäuschen. Mozilla, Microsoft und Google blockieren die fraglichen Zertifikate bereits in ihren Browsern.

von Bernd Kling 0


Eine türkische Zertifizierungsstelle hat versehentlich fehlerhafte digitale Zertifikate ausgestellt, die für Angriffsversuche verwendet wurden. Mozilla, Microsoft und Google haben bereits reagiert und blockieren die gefährlichen Zertifikate.

Wie Google-Entwickler Adam Langley berichtet, entdeckte das Chrome-Team am Abend des 24. Dezember ein nicht autorisiertes Zertifikat für die Domain “*.google.com” und blockierte sie. Die weiteren Nachforschungen zeigten, dass das Zertifikat von einer Zwischenstelle ausgestellt worden war, die zur türkischen Zertifizierungsstelle TurkTrust verwies. Langley zufolge verliehen die fraglichen Zertifikate die volle Autorität zur Schaffung eines Zertifikats, um beliebige Websites zu verkörpern.

TurkTrust räumte daraufhin ein, versehentlich zwei Zwischenzertifikate (“Intermediate CA”) an Organisationen ausgegeben zu haben, die eigentlich nur reguläre SSL-Zertifikate erhalten sollten. Nach eigenen Angaben ist TurkTrust “das einzige ortsansässige Unternehmen in der Türkei, das von Microsoft (Internet Explorer), Mozilla (Firefox) sowie den Webbrowsern Opera und Safari anerkannt wird und dessen SSL-Serverzertifikate weltweit gültig sind”.

Fraglich ist allerdings, ob es dabei bleibt, nachdem alle bedeutenden Browserhersteller auf das Sicherheitsproblem aufmerksam wurden. Google hat als erste Maßnahme die falsch ausgestellten Zertifikate mit einem Chrome-Update blockiert und behält sich weitere Maßnahmen vor.

Microsoft hat inzwischen seine Certificate Trust List (CTL) aktualisiert, um Nutzer vor Schaden zu bewahren. Bei einer Windows-Installation ohne automatische Aktualisierung widerrufener Zertifikate sei ein sofortiges Update angeraten. Laut Microsoft wurde eines der fälschlicherweise ausgestellten Zwischenzertifikate benutzt, um “ein betrügerisches Zertifikat für *.google.com zu erzeugen”. Ein solches betrügerisches Zertifikat könne für Content-Spoofing, Phishing-Attacken oder Man-in-the-Middle-Angriffe gegen mehrere Google-Sites genutzt werden.

“Solche Zertifikate könnten Benutzer täuschen und Websites vertrauen lassen, die den Domaininhabern zu gehören scheinen, aber tatsächlich bösartige Inhalte oder Software enthalten”, heißt es bei Mozilla. Neben den beiden falsch ausgestellten Zertifikaten hat Mozilla für Firefox auch die Gültigkeit eines Rootzertifikats von TurkTrust aufgehoben – und in ihrem Sicherheitsforum diskutieren die Mozilla-Entwickler über weitere Maßnahmen.

[mit Material von Seth Rosenblatt, News.com]

Umfrage

Was beschäftigt Sie als IT-Verantwortlichen 2013 voraussichtlich am meisten (bis zu 3 Antworten möglich)?

  • IT-Sicherheit (62%, 136 Stimme(n))
  • Cloud Computing (29%, 64 Stimme(n))
  • Mobile Computing für die Mitarbeiter (32%, 71 Stimme(n))
  • Bring your own Device (BYOD) (19%, 42 Stimme(n))
  • Migration auf Windows 7 (30%, 65 Stimme(n))
  • Migration auf Windows 8 (13%, 29 Stimme(n))
  • Virtualisierung (32%, 70 Stimme(n))
  • Sonstiges (10%, 21 Stimme(n))

Gesamt: 219

Loading ... Loading ...
ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Letzter Kommentar




0 Antworten zu Falsch vergebene Zertifikate ermöglichen Imitate von Google-Sites

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>