Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 318

Neuer SSL-Gau: Falsches Google-Zertifikat blieb fünf Wochen unentdeckt

Möglicherweise hat sich die iranische Regierung ein gültiges Zertifikat für Google-Domains erschlichen, um Nutzer von Google Mail zu überwachen. Das Zertifikat wird inzwischen von Google, Microsoft und Mozilla blockiert. Am Wochenende berichtete ein nach eigener Auskunft im Iran lebender Nutzer von Google Mail, dass Google Chrome beim Aufruf der mit SSL gesicherten Site einen Zertifikatsfehler meldete. Offenbar hat eine kürzlich in Chrome eingeführte Sicherheitsfunktion auf das merkwürdige Zertifikat aufmerksam gemacht. Chrome prüft nämlich nicht nur, ob das Zertifikat gültig ist, sondern auch, ob es von der richtigen CA stammt.

Verschiedene Sicherheitsexperten wie Moxie Marlinspike bestätigten, dass das vom holländischen Unternehmen DigiNotar ausgestellte und für alle google.com-Domains (*.google.com) gültige Zertifikat offenbar missbraucht wurde. Ein Pastebin-Eintrag demonstriert die Echtheit. Der Verfasser des Eintrags fordert die "digitale Todesstrafe" für DigiNotar, da durch das unbedachte Vorgehen des Dienstleisters Menschenleben in Gefahr gebracht wurden.

Die Electronic Frontier Foundation schreibt in ihrem Blog, dass das kompromittierte Zertifikat wahrscheinlich von der iranischen Regierung verwendet wurde, um Nutzer von Google Mail zu überwachen. Ausgestellt wurde das betroffene Zertifikat am 10. Juli, also vor gut fünf Wochen. An wen das Wildcard-Zertifikat übergeben wurde, ist allerdings ebenso unbekannt wie die Tatsache, ob noch weitere Zertifikate betroffen sind. Microsoft hat vorsichtshalber das DigiNotar-Root-Zertifikat aus der Microsoft Certificate Trust List in Windows entfernt und so alle Zertifikate von DigiNotar unbrauchbar gemacht.

Verschiedene Softwarehersteller haben inzwischen reagiert: Google wird DigiNotar-Zertifikate aus seinem Browser Chrome entfernen. Ebenso wird die Mozilla Foundation per Update dafür sorgen, dass Firefox, Sea Monkey und Thunderbird den DigiNotar-Zertifikaten nicht mehr vertrauen. Wer nicht auf das Update warten will, findet auf einer Mozilla-Seite Informationen, wie das Zertifikat von Hand gelöscht werden kann. Microsoft hat das Security Advisory 2607712 veröffentlicht. In einem dazu gehörenden Blogbeitrag erklärt das Unternehmen, dass Nutzer der Windows-Versionen ab Windows Vista keine Schritte unternehmen müssen: Das betreffende Zertifikat werde automatisch blockiert.

Für Windows XP und Windows Server 2003 wird es gesonderte Sicherheitsupdates geben, da diese Systeme nicht die zentral verwaltete Microsoft Certificate Trust List verwenden. Der Vorfall ist bereits der zweite seiner Art binnen weniger Monate. Im März wurde der Dienstleister Comodo gehackt, so dass gültige SSL-Zertifikate für eine ganze Reihe hochkarätiger Domains – darunter auch Google Mail – entwendet werden konnten. (dab)

318 Kommentare

Themen:

Anzeige
  1. Google: Certificate Transparency wird Pflicht

    Google: Certificate Transparency wird Pflicht

    Google trommelt seit Jahren für mehr Transparenz bei den Certificate Authorities. Jetzt wollen die Macher des Chrome-Browsers CAs mit Gewalt auf die Praxis der Certificate Transparency verpflichten.

  2. Auch Google vertraut StartCom- und WoSign-Zertifikaten nicht mehr

    Auch Google vertraut StartCom- und WoSign-Zertifikaten nicht mehr

    Nach den Webbrowsern Firefox von Mozilla und Safari von Apple soll auch Googles Chrome zeitnah SSL-/TLS-Zertifikaten von StartCom und WoSing kein Vertrauen mehr schenken.

  3. Zertifikats-Streit: Symantec gelobt Google Besserung

    Zertifikats-Streit: Symantec gelobt Besserung gegenüber Google

    Symantec geht auf Google zu, deren Webbrowser Chrome SSL-/TLS-Zertifikate der CA bald herunterstufen soll. Die Zertifizierungsstelle will nun regelmäßig Zertifikats-Prüfungen durchführen lassen.

  4. TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an

    Ab Juni müssen alle Symantec-CAs ihre Aktivitäten via Certificate Transparency registrieren. Sonst werden die Zertifikats-Inhaber abgestraft. Das könnte auch andere CAs treffen.

  1. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  2. DNSSEC und DANE: Hilfestellung zur Mail-Verschlüsselung

    Wie Mail-Cients SMIMEA und DNSSEC nutzen: S/MIME-fähige Mail-Clients signieren Mails automatisch und senden den öffentlichen Schlüssel gleich mit (1). Der Empfänger-Mail-Client fragt im DNS nach dem SMIMEA- Record der Absenderadresse (2, 3). Der Resolver validiert und reicht die Antwort des DNS-Servers an den Client weiter (4, 5). Wenn die aus dem DNS und der Mail erhaltenen Fingerprints identisch sind, verschlüsselt der Client die Mail und schickt sie ab (6, 7).

    Fachleute kritisieren zurzeit das eigentlich zuverlässige Mail-Verschlüsselungsverfahren PGP, weil Konzeptschwächen die Verbreitung behindern. Aber auch die bequemere Mail-Verschlüsselung namens S/MIME hat erhebliche Schwächen. DNSSEC und DANE, zwei miteinander kombinierte Verfahren, versprechen Abhilfe.

  3. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  1. Im Test: BMW X1 xDrive 20d

    BMW

    Der zweite BMW X1 wirkt innen nobler, dreht aber aus Kostengründen sein Antriebskonzept um. Statt des standardmäßigen Hinterradantriebs mit zugeschalteter Vorderachse werden nun die Hinterräder nur bei Bedarf angetrieben. Eine Ausfahrt sollte zeigen, ob sich dieser BMW noch wie einer anfühlt

  2. Apple Carplay im BMW 1er

    BMW NBT Evo

    Unsere Kollegen von Techstage haben sich angesehen, wie BMW Apple Carplay integriert hat. Das ist nicht ganz billig, von BMW aber insgesamt sehr gut gelöst. Ein paar Dinge könnten BMW und Apple in ihrer Zusammenarbeit aber noch verbessern

  3. "Großes Finale": Cassini meldet sich nach Flug zwischen dem Saturn und seinen Ringen

    "Großes Finale": Cassini meledet sich nach Flug zwischen Saturn und Ringen

    Einen Tag nach dem ersten Abtauchen zwischen den Saturn und seine Ringe hat sich die NASA-Sonde Cassini zurückgemeldet. Eine Antenne in Kalifornien empfängt die heiß ersehnten Daten. Offenbar lief alles nach Plan, freut sich die NASA.

  4. iPhone-Kaufberatung: Vom 4s bis zum iPhone 7 Plus

    Das iPhone setzt jedes Jahr neue Maßstäbe und löst auch bei Besitzern anderer Smartphones Haben-wollen-Reflexe aus. Doch die Anschaffung ist kostspielig und nicht jeder braucht sämtliche Features – welches soll man da bloß nehmen? Wir stellen alle jüngeren Modelle einander gegenüber und lassen dabei auch Gebrauchtgeräte nicht außen vor.

Anzeige