Logo von Security

Suche
Uli Ries 318

Neuer SSL-Gau: Falsches Google-Zertifikat blieb fünf Wochen unentdeckt

Möglicherweise hat sich die iranische Regierung ein gültiges Zertifikat für Google-Domains erschlichen, um Nutzer von Google Mail zu überwachen. Das Zertifikat wird inzwischen von Google, Microsoft und Mozilla blockiert. Am Wochenende berichtete ein nach eigener Auskunft im Iran lebender Nutzer von Google Mail, dass Google Chrome beim Aufruf der mit SSL gesicherten Site einen Zertifikatsfehler meldete. Offenbar hat eine kürzlich in Chrome eingeführte Sicherheitsfunktion auf das merkwürdige Zertifikat aufmerksam gemacht. Chrome prüft nämlich nicht nur, ob das Zertifikat gültig ist, sondern auch, ob es von der richtigen CA stammt.

Anzeige

Verschiedene Sicherheitsexperten wie Moxie Marlinspike bestätigten, dass das vom holländischen Unternehmen DigiNotar ausgestellte und für alle google.com-Domains (*.google.com) gültige Zertifikat offenbar missbraucht wurde. Ein Pastebin-Eintrag demonstriert die Echtheit. Der Verfasser des Eintrags fordert die "digitale Todesstrafe" für DigiNotar, da durch das unbedachte Vorgehen des Dienstleisters Menschenleben in Gefahr gebracht wurden.

Die Electronic Frontier Foundation schreibt in ihrem Blog, dass das kompromittierte Zertifikat wahrscheinlich von der iranischen Regierung verwendet wurde, um Nutzer von Google Mail zu überwachen. Ausgestellt wurde das betroffene Zertifikat am 10. Juli, also vor gut fünf Wochen. An wen das Wildcard-Zertifikat übergeben wurde, ist allerdings ebenso unbekannt wie die Tatsache, ob noch weitere Zertifikate betroffen sind. Microsoft hat vorsichtshalber das DigiNotar-Root-Zertifikat aus der Microsoft Certificate Trust List in Windows entfernt und so alle Zertifikate von DigiNotar unbrauchbar gemacht.

Verschiedene Softwarehersteller haben inzwischen reagiert: Google wird DigiNotar-Zertifikate aus seinem Browser Chrome entfernen. Ebenso wird die Mozilla Foundation per Update dafür sorgen, dass Firefox, Sea Monkey und Thunderbird den DigiNotar-Zertifikaten nicht mehr vertrauen. Wer nicht auf das Update warten will, findet auf einer Mozilla-Seite Informationen, wie das Zertifikat von Hand gelöscht werden kann. Microsoft hat das Security Advisory 2607712 veröffentlicht. In einem dazu gehörenden Blogbeitrag erklärt das Unternehmen, dass Nutzer der Windows-Versionen ab Windows Vista keine Schritte unternehmen müssen: Das betreffende Zertifikat werde automatisch blockiert.

Für Windows XP und Windows Server 2003 wird es gesonderte Sicherheitsupdates geben, da diese Systeme nicht die zentral verwaltete Microsoft Certificate Trust List verwenden. Der Vorfall ist bereits der zweite seiner Art binnen weniger Monate. Im März wurde der Dienstleister Comodo gehackt, so dass gültige SSL-Zertifikate für eine ganze Reihe hochkarätiger Domains – darunter auch Google Mail – entwendet werden konnten. (dab)

318 Kommentare

Themen:

Anzeige
  1. Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

    SSL-Zertifikate: Google setzt Symantec die Pistole auf die Brust

    Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

  2. Google Chrome: Abschied von SHA-1-siginierten SSL-Zertifikaten

    Google Chrome: Abschied von SHA-1-siginierten SSL-Zertifikaten

    Ab Anfang nächsten Jahres wird Google Chrome keine neu ausgestellten SHA-1-signierten SSL-Zertifikate von öffentlichen CAs mehr akzeptieren. SHA-1 gilt seit zehn Jahren als unsicher, wird aber immer noch von HTTPS-Sites verwendet.

  3. Symantec hantiert mit falschem Google-Zertifikat

    Google-Logo

    Der Anbieter von Antiviren-Software hat mit Test-Zertifikaten herumexperimentiert; bis Chrome Alarm geschlagen und Google benachrichtigt hat.

  4. TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    Ab Juni müssen alle Symantec-CAs ihre Aktivitäten via Certificate Transparency registrieren. Sonst werden die Zertifikats-Inhaber abgestraft. Das könnte auch andere CAs treffen.

  1. Universeller SSL-Tester SSLyze

    Ganz ohne grafische Oberfläche gibt SSLyze einen guten Überblick über Zertifikat, Einstellungen und Optionen eines SSL-Servers.

    SSL mit Kommandozeilen-Tools von Hand zu testen, ist mühselig; SSLyze nimmt Admins viel dieser Arbeit ab.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. DNSSEC und DANE: Hilfestellung zur Mail-Verschlüsselung

    Fachleute kritisieren zurzeit das eigentlich zuverlässige Mail-Verschlüsselungsverfahren PGP, weil Konzeptschwächen die Verbreitung behindern. Aber auch die bequemere Mail-Verschlüsselung namens S/MIME hat erhebliche Schwächen. DNSSEC und DANE, zwei miteinander kombinierte Verfahren, versprechen Abhilfe.

  1. Mobile Payment: Telefónica zieht bei mpass den Stecker

    Mobile Payment: Telefónica zieht bei mpass den Stecker

    In früheren Zeiten war mpass mal ein NFC-fähiger Bezahldienst, der von den drei Mobilfunknetzbetreibern unterstützt wurde. Die kochen jetzt alle ihre eigene Suppe – für mpass ist die Zeit damit abgelaufen.

  2. iOS-App: Microsoft Pix soll bessere Fotos schießen

    Microsoft Pix

    Die neue Pix-App für iPhone und iPad nimmt Nutzern beim Fotografieren die Arbeit durch Künstliche Intelligenz ab. Pix legt die Kameraeinstellungen selbst fest, fertigt Serienaufnahmen an und soll das jeweils beste Foto auswählen.

  3. Die Tage der Zwangs-Router sind gezählt ... oder nicht?

    DVB-T2 HD: Erste Erfahrungen mit dem neuen Antennenfernsehen

    Ab 1. August sind alle Netzbetreiber in Deutschland verpflichtet, dem Kunden die Wahl des Routers am Internet-Anschluss zu überlassen. Doch je nach Anschlussart bleibt von der dann gesetzlich garantierten Wahlfreiheit möglicherweise nicht viel übrig.

  4. Doppelsternsystem: Weißer Zwerg grillt Roten Zwerg

    Doppelsternsystem: Weißer Zwerg grillt Roten Zwerg

    Forscher haben einen ungewöhnlichen Doppelstern entdeckt. Das System besteht aus einem weißen Zwerg, der mit seinem roten Begleiter nicht gerade zimperlich umgeht.

Anzeige