Google und das betrügerische Zertifikat
Kommentare

Ein betrügerisches Zertifikat treibt sein Unwesen: Nutzer der eigentlich gesicherten Google-Dienste laufen Gefahr, dank eines Zertifikats von DigiNotar einer Man-in-the-middle-Attacke zum Opfer zu fallen.

Ein betrügerisches Zertifikat treibt sein Unwesen: Nutzer der eigentlich gesicherten Google-Dienste laufen Gefahr, dank eines Zertifikats von DigiNotar einer Man-in-the-middle-Attacke zum Opfer zu fallen. Sich davor zu schützen ist nicht sonderlich schwer.

Um genau zu sein, geht es um das Zertifikat DigiNotar Root CA. Nachdem das niederländische Unternehmen bereits am 19. Juli diesen Jahres ein Eindringen in seine Certificate-Authority-Infrastruktur bemerkt hatte, wurden die üblichen Gegenmaßnahmen ergriffen und alle betroffenen Zertifikate bereinigt. So zumindest der bisherige Stand der Dinge. Denn leider ist eines der Zertifikate unentdeckt geblieben.

At that time, an external security audit concluded that all fraudulently issued certificates were revoked. Recently, it was discovered that at least one fraudulent certificate had not been revoked at the time.  After being notified by Dutch government organization Govcert, DigiNotar took immediate action and revoked the fraudulent certificate.Pressemitteilung, 2011

Entdeckt wurde das kontaminierte Zertifikat übrigens von Googles Chrome. Eine vor kurzem eingeführte Sicherheitsfunktion, user-specified HSTS preloads and certificate pins, gab eine Warnung bei eben jenem Zertifikat aus. Das Feature prüft nicht nur die Gültigkeit des Zertifikats, sondern auch, ob das angegebene CA korrekt ist.

Kommende Updates aller Browser sollen auf diese Situation reagieren und die Software entsprechend sichern. Wer dennoch auf Nummer Sicher gehen möchte, sollte DigiNotar Root CA händisch entfernen – in Mac OS X kann man dem Zertifikat über die Schlüsselbundverwaltung das Vertrauen entziehen, sollte aber dennoch im Firefox noch einmal gesondert nachbessern. Für Googles Chrome existiert ebenfalls bereits ein Patch. Lediglich Microsoft bleibt gelassen und verweist im Security Advisory 2607712 darauf, dass das Zertifikat automatisch geblockt werde:

We continue to work with the certificate authority to understand the scope of this issue, and have taken steps to further help protect customers by removing the DigiNotar root certificate from the list of trusted root certificates on Windows. Web sites with certificates issued by DigiNotar will no longer be trusted by Windows Vista and above. This protection is automatic and no customer action is required.Dave Forstrom, 2011

Ältere Versionen von Microsofts OS müssen indes noch auf die entsprechenden Updates warten.

Trotz aller Versicherungen der Hersteller und den Bemühungen, die Lage zu deeskalieren, bleibt ein fahler Beigeschmack: Man darf nicht vergessen, dass das betrügerische Zertifikat über einen Monat lang unentdeckt blieb.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -