Gefahr durch falsche Zertifikate für Domains von Google und Yahoo

Sicherheit
security-sicherheit (Bild: Shutterstock)

Sie wurden aus noch unbekannten Gründen durch eine indische Behörde ausgestellt. Betroffen sind 17 Google-Domains, darunter google.com, m.gmail.com und gstatic.com, sowie 27 Yahoo-Domains, darunter mail.yahoo.com, profile.yahoo.com und me.yahoo.com.

Eine indische Behörde hat offenbar falsche Zertifikate für zahlreiche Domains von Google und Yahoo ausgestellt. Betroffen sind 17 Google-Domains, darunter google.com, m.gmail.com und gstatic.com, sowie 27 Yahoo-Domains, etwa mail.yahoo.com, profile.yahoo.com und me.yahoo.com. Google hatte zuerst auf die falschen Zertifikate reagiert.

security-sicherheit-shutterstock_FuzzBones

Warum die Certificate Authority der indischen Behörde die Zertifikate ausgestellt hat, ist noch nicht bekannt. Falsche Zertifikate lassen sich für Spoofing und Man-in-the-Middle-Angriffe benutzen, wenn beispielsweise ein Browser ihnen vertraut.

Inzwischen hat auch Microsoft der Behörde das Vertrauen entzogen und vor gefälschten Google- und Yahoo-Domains gewarnt. Außerdem hat Microsoft ein Update für seine Certificate Trust List verteilt, mit dem der Softwarekonzern die “missbräuchlich ausgestellten digitalen Zertifikate” nun als ungültig einstuft.

Die Domains benutzen Zertifikate, die von einer Certificate Authority des National Informatics Centre (NIC), einer Behörde der indischen Regierung, ausgestellt wurden. Google zufolge stand die Government of India Controller of Certifying Authorities (CCA) – unter diesem Namen betreibt die NIC die ihr unterstellten Certificate Authorities – nie auf der Liste der vertrauenswürdigen Zertifikate. Dennopch habe Microsofts Trusted Root Store genanntes Verzeichnis der CCA vertraut.

Jedenfalls hat Microsoft nun die Liste der vertrauenswürdigen Zertifikate aktualisiert und die fraglichen Zertifikate entfernt. Nutzer von Windows 8, 8,1, RT, RT 8.1, Server 2012, Server 2012 R2 sowie Windows Phone 8 und 8.1 erhalten die neue Liste automatisch. Für Windows Vista, 7, Server 2008 und Server 2008 R2 hatte Microsoft im vergangenen Jahr ein Update bereitgestellt, dass die Liste ebenfalls ohne Interaktion mit dem Nutzer aktuell hält. Anwender, die dieses Update nicht installiert haben, finden in Microsofts Sicherheitswarnung eine Anleitung, wie sie die aktualisierte Liste einspielen können. Sie gilt auch für Windows Server 2003.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen