Logo von Security

Suche
318

Neuer SSL-Gau: Falsches Google-Zertifikat blieb fünf Wochen unentdeckt

Möglicherweise hat sich die iranische Regierung ein gültiges Zertifikat für Google-Domains erschlichen, um Nutzer von Google Mail zu überwachen. Das Zertifikat wird inzwischen von Google, Microsoft und Mozilla blockiert. Am Wochenende berichtete ein nach eigener Auskunft im Iran lebender Nutzer von Google Mail, dass Google Chrome beim Aufruf der mit SSL gesicherten Site einen Zertifikatsfehler meldete. Offenbar hat eine kürzlich in Chrome eingeführte Sicherheitsfunktion auf das merkwürdige Zertifikat aufmerksam gemacht. Chrome prüft nämlich nicht nur, ob das Zertifikat gültig ist, sondern auch, ob es von der richtigen CA stammt.

Anzeige

Verschiedene Sicherheitsexperten wie Moxie Marlinspike bestätigten, dass das vom holländischen Unternehmen DigiNotar ausgestellte und für alle google.com-Domains (*.google.com) gültige Zertifikat offenbar missbraucht wurde. Ein Pastebin-Eintrag demonstriert die Echtheit. Der Verfasser des Eintrags fordert die "digitale Todesstrafe" für DigiNotar, da durch das unbedachte Vorgehen des Dienstleisters Menschenleben in Gefahr gebracht wurden.

Die Electronic Frontier Foundation schreibt in ihrem Blog, dass das kompromittierte Zertifikat wahrscheinlich von der iranischen Regierung verwendet wurde, um Nutzer von Google Mail zu überwachen. Ausgestellt wurde das betroffene Zertifikat am 10. Juli, also vor gut fünf Wochen. An wen das Wildcard-Zertifikat übergeben wurde, ist allerdings ebenso unbekannt wie die Tatsache, ob noch weitere Zertifikate betroffen sind. Microsoft hat vorsichtshalber das DigiNotar-Root-Zertifikat aus der Microsoft Certificate Trust List in Windows entfernt und so alle Zertifikate von DigiNotar unbrauchbar gemacht.

Verschiedene Softwarehersteller haben inzwischen reagiert: Google wird DigiNotar-Zertifikate aus seinem Browser Chrome entfernen. Ebenso wird die Mozilla Foundation per Update dafür sorgen, dass Firefox, Sea Monkey und Thunderbird den DigiNotar-Zertifikaten nicht mehr vertrauen. Wer nicht auf das Update warten will, findet auf einer Mozilla-Seite Informationen, wie das Zertifikat von Hand gelöscht werden kann. Microsoft hat das Security Advisory 2607712 veröffentlicht. In einem dazu gehörenden Blogbeitrag erklärt das Unternehmen, dass Nutzer der Windows-Versionen ab Windows Vista keine Schritte unternehmen müssen: Das betreffende Zertifikat werde automatisch blockiert.

Für Windows XP und Windows Server 2003 wird es gesonderte Sicherheitsupdates geben, da diese Systeme nicht die zentral verwaltete Microsoft Certificate Trust List verwenden. Der Vorfall ist bereits der zweite seiner Art binnen weniger Monate. Im März wurde der Dienstleister Comodo gehackt, so dass gültige SSL-Zertifikate für eine ganze Reihe hochkarätiger Domains – darunter auch Google Mail – entwendet werden konnten. (Uli Ries) / (dab)

318 Kommentare

Themen:

  1. Indien stellte falsche Google-Zertifikate aus

    Das indische National Informatics Centre (NIC) stellt bis auf weiteres keine Zertifikate mehr aus.

    Erneut kam es zu einem schwerwiegenden Zwischenfall bei einem Herausgeber von SSL-Zertifikaten: Die staatlich betriebene CA von Indien hat unter anderem Zertifikate für Google-Dienste herausgegeben. Diese eignen sich zum Ausspähen von SSL-Traffic.

  2. Gefälschtes Microsoft-Zertifikat im Umlauf

    Comodo bringt gefälschtes Microsoft-Zertifikat in Umlauf

    Unbekannte haben es geschafft, sich ein gültiges Zertifikat für die finnische Live-Domain ausstellen zu lassen. Windows-Nutzer sollten ein Update, welches das Zertifikat blockt, so schnell wie möglich einspielen, um nicht Opfer eines Angriffs zu werden.

  3. Google verbannt SSL-Zertifikate von CNNIC

    Spähs

    CNNIC hatte gefälschten SSL-Zertifikate für Google-Domains beglaubigt und legt laut Google wenig Transparenz beim Signieren von Zwischen-Zertifizierungsstellen an den Tag.

  1. Universeller SSL-Tester SSLyze

    Ganz ohne grafische Oberfläche gibt SSLyze einen guten Überblick über Zertifikat, Einstellungen und Optionen eines SSL-Servers.

    SSL mit Kommandozeilen-Tools von Hand zu testen, ist mühselig; SSLyze nimmt Admins viel dieser Arbeit ab.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. Forward Secrecy testen und einrichten

    Das Tool CryptoNark hilft Admins, die schnell sehen wollen, was ihre SSL-Server können.

    Mit den richtigen Tools und Pointern kann man die Verschlüsselung seiner Server testen und optimieren, um der NSA ein Schnippchen zu schlagen.

  1. Selbstläufer

    Unterwegs im Porsche Macan S Diesel

    Porsche hat mit dem Macan offenbar einen Volltreffer beim Geschmack der Kunden gelandet. Die Deutschen greifen zu rund 70 Prozent zur Selbstzünderversion, die ab 59.120 Euro zu haben ist. Wir stiegen in den Macan S Diesel um ein Gespür dafür zu kriegen, was dieses Auto so attraktiv macht

  2. Frische Nase

    Hyundai ix20

    Rund fünf Jahre hat Hyundai sich mit einem Update für den ix20 Zeit gelassen –für die sonstigen Auffrischungsintervalle der Marke eine ungewöhnlich lange Zeit. Angesichts dessen fallen die Veränderungen ziemlich überschaubar aus – bis auf einen Punkt

  3. Upgrade auf Windows 10: Vorsicht vor gefälschter E-Mail

    Update auf Windows 10: Vorsicht vor gefälschter E-Mail

    Online-Kriminelle nutzen den Start von Windows 10 aus, um Opfern einen Verschlüsselungs-Trojaner unterzujubeln. Zielgruppe sind die Nutzer, bei denen der Download des neuen Betriebssystems noch nicht bereitsteht.

  4. Der große Wagen

    Skoda

    Der neue Superb Combi darf wieder als gelungene Erscheinung gelten, was nicht nur für seine äußere Gestaltung gilt. Skoda hat wie bei der Limousine an den entscheidenden Stellen nachgebessert, ohne jene Tugenden zu vernachlässigen, die ihn erfolgreich gemacht haben

Anzeige