Unerlaubt ausgestellte Google-Zertifikate decken Schwächen von SSL auf

SicherheitSicherheitsmanagement
Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

Sie wurden von dem als Zwischenzertifizierer agierenden ägyptischen Unternehmen MCS als ausgegeben. Dieses wurde durch die chinesische Zertifizierungsstelle CNNIC autorisiert. Die ist bei Browsern und Betriebssystemen grundsätzlich als vertrauenswürdig eingestuft. Die SSL-Zertifikate wurden für Domains von Google und möglicherweise auch für andere Domains ausgestellt.

Google hat darauf hingeweisen, dass für mehrere Google-Domains missbräuchlich SSL-Zertifikate ausgestellt wurden. Deren Ausgabestelle ist das ägyptische Unternehmen MCS (Mideast Communication Systems) ein Zwischenzertifizierer, der von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde. CNNIC ist in allen wichtigen Root-Speichern enthalten, daher genossen die regelwidrig ausgestellten Zertifikate grundsätzlich das Vertrauen aller Browser und Betriebssysteme. Google kann nicht ausschließen, dass die Zertifikate auch für andere Domains genutzt wurden.

Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

CNNIC erklärte auf Nachfrage, mit MCS Holdings sei vereinbart worden, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden. Stattdessen sei jedoch die Nutzung in einem Man-in-the-Middle-Proxy erfolgt. Solche Proxys fangen die Kommunikation gesicherter Verbindungen ab, indem sie vorgeben, das beabsichtigte Ziel zu sein. Sie kommen etwa in Firmen zum Einsatz, um das Surfverhalten von Mitarbeitern zu überwachen.

Gewöhnlich müssen dafür die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. In diesem Fall wurde dem mutmaßlichen Proxy jedoch die volle Autorität einer öffentlichen Zertifizierungsstelle übertragen. Googles Sicherheitsspezialist Adam Langley bezeichnet das als eine ernsthafte Verletzung des CA-Systems und vergleicht es mit der 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.

Den Nutzern von Chrome sowie Firefox ab Version 33 versichert Langley, dass ihre Browser die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen haben. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.

Konkrete Missbrauchsfälle durch den aktuellen Vorfall wurden bislang nicht bekannt. Er zeigt aber erneut eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern. Vergangene Woche warnte auch Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben.

Im August 2011 waren nach einem Angriff auf DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen. Der niederländische Zertifikatsaussteller musste Konkurs anmelden, nachdem es einem Angreifer gelungen war, ein falsches Zertifikat für *.google.com auszustellen und einen Man-in-the-Middle-Angriff durchzuführen. Die Zertifikate von DigiNotar nutzte zuvor unter anderem die Regierung der Niederlande. Neben DigiNotar waren 2011 auch Comodo, GlobalSign und StartCom von solchen Angriffen betroffen.

[mit Material von ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU