Unerlaubt ausgestellte Google-Zertifikate decken Schwächen von SSL auf

25. März 2015, 8:33 Uhr

												Google hat darauf hingeweisen, dass für mehrere Google-Domains missbräuchlich SSL-Zertifikate ausgestellt wurden. Deren Ausgabestelle ist das ägyptische Unternehmen MCS (Mideast Communication Systems) ein Zwischenzertifizierer, der von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde. CNNIC ist in allen wichtigen Root-Speichern enthalten, daher genossen die regelwidrig ausgestellten Zertifikate grundsätzlich das Vertrauen aller Browser und Betriebssysteme. Google kann nicht ausschließen, dass die Zertifikate auch für andere Domains genutzt wurden.

CNNIC erklärte auf Nachfrage, mit MCS Holdings sei vereinbart worden, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden. Stattdessen sei jedoch die Nutzung in einem Man-in-the-Middle-Proxy erfolgt. Solche Proxys fangen die Kommunikation gesicherter Verbindungen ab, indem sie vorgeben, das beabsichtigte Ziel zu sein. Sie kommen etwa in Firmen zum Einsatz, um das Surfverhalten von Mitarbeitern zu überwachen.
Gewöhnlich müssen dafür die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. In diesem Fall wurde dem mutmaßlichen Proxy jedoch die volle Autorität einer öffentlichen Zertifizierungsstelle übertragen. Googles Sicherheitsspezialist Adam Langley bezeichnet das als eine ernsthafte Verletzung des CA-Systems und vergleicht es mit der 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.
Den Nutzern von Chrome sowie Firefox ab Version 33 versichert Langley, dass ihre Browser die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen haben. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.
Konkrete Missbrauchsfälle durch den aktuellen Vorfall wurden bislang nicht bekannt. Er zeigt aber erneut eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern. Vergangene Woche warnte auch Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben.
Im August 2011 waren nach einem Angriff auf DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen. Der niederländische Zertifikatsaussteller musste Konkurs anmelden, nachdem es einem Angreifer gelungen war, ein falsches Zertifikat für *.google.com auszustellen und einen Man-in-the-Middle-Angriff durchzuführen. Die Zertifikate von DigiNotar nutzte zuvor unter anderem die Regierung der Niederlande. Neben DigiNotar waren 2011 auch Comodo, GlobalSign und StartCom von solchen Angriffen betroffen.
[mit Material von ZDNet.de]
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

					                Lesen Sie auch : 

                                    Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

                                    Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

                                    Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus