Google sperrt Zertifikate von CNNIC

Google (Bild: Google)

Die Sperrung ist eine Reaktion auf missbräuchlich ausgestellte SSL-Zertifikate aus China. Seit Wochen fordert Greatfire.org, dass der chinesischen Ausgabehörde CNNIC das Vertrauen entzogen wird.

Google akzeptiert ab sofort keine Zertifikate mehr des China Internet Network Information Center (CNNIC). Der Konzern hat die zentrale Ausgabestelle auf eine schwarze Liste gesetzt. CNNIC gibt Root-Zertifikate Chinas (“Root Certificate Authority” oder kurz CA) aus. Zudem verwaltet sie die Länderdomain .cn. Die Entscheidung betrifft alle Google-Produkte.

Neben Google hatten sich auch Microsoft sowie Mozilla in der vergangenen Woche beschwert, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Diese hatte das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgegeben. Die chinesische Zertifizierungsstelle CNNIC hatte dieses autorisiert.

Mit den Zertifikaten hätten sich Angreifer als Google-Site ausgeben können. Obwohl MCS den Fehler beging, beschuldigte Google das CNNIC, “einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen” zu haben.

Mit MCS Holdings habe CNNIC vereinbart, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden, erklärte die Behörde. Allerdings kamen sie in einem Man-in-the-Middle-Proxy zum Einsatz. Diese können die Kommunikation gesicherter Verbindungen abfangen, indem sie vorgeben, das beabsichtigte Ziel zu sein. So kamen die Zertifikate für *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com und *.googleapis.com zur Anwendung.

Google Chrome 28In einem aktualisierten Blog zu diesen Vorkommnissen schreibt Google nun: “Wir haben entschieden, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren werden.” Diese will der Konzern durch ein Chrome-Update umsetzen. Bestehende CNNIC-Zertifikate werde Google vorübergehend auf eine öffentlich einsehbare Whitelist setzen, um somit den Übergang für Kunden zu erleichtern.

Weder Google noch CNNIC glaube, dass weitere nicht autorisierte Zertifikate ausgegeben wurden, heißt es weiter. Sie seien tatsächlich nur im Testnetz von MCS verwendet worden, so Google. “CNNIC wird Certificate Transparency für alle seine Zertifikate implementieren, bevor es ihre neuerliche Zulassung beantragt. Wir billigen diese proaktiven Schritte und laden sie ein, neue Anträge zu stellen, sobald angemessene technische und betriebliche Kontrollen eingerichtet wurden.”

CNNIC hat trotz des versöhnlichen Tons seitens Google mit lautem Protest reagiert: “Googles Entscheidung ist für CNNIC weder akzeptabel noch verständlich, und vorerst drängt CNNIC Google ernsthaft, die Rechte und Interessen der User voll zu bedenken.” Es garantiere allen Kunden, an die es Zertifikate ausgegeben habe, dass ihre Rechte und Interessen nicht betroffen sein würden.

Mozilla trifft noch keine Entscheidung

Mozillas für Verschlüsselung zuständiger Manager Richard Barnes sagte Ars Technica, man habe für Firefox noch keine endgültige Entscheidung getroffen. Er schlägt aber eine Art Abmahnverfahren vor. Demnach würden ältere Zertifikate zurückgewiesen, und CNNIC müsste eine Liste aller derzeit gültigen Zertifikate verfügbar machen, sodass eventuell rückdatierte Zertifikate ausfindig gemacht werden könnten. Anschließend würde sich CNNIC neu als Root Certificate Authority bewerben und dabei bestimmte – noch zu definierende – Bedingungen erfüllen müssen.

Der Fall der ägyptischen Zertifikate ist nicht der einzige, in dem das CNNIC als Root CA eine fragwürdige Rolle spielt. Die chinakritische Organisation Greatfire.org hat Apple, Google und Microsoft aufgefordert, das Vertrauen für CNNIC-Zertifikate zurückzuziehen. Damit seien nämlich Angriffe auf chinesische Nutzer der US-Dienste durchgeführt worden: Unbekannte gaben sich etwa als Mailserver von Apple, Google oder Microsoft aus, um Anfragen umzulenken und so an Mails der Nutzer zu kommen beziehungsweise diese am Versand zu hindern. So wurde zu Jahresanfang die chinesische Zensur verschärft, nachdem Webzugriffe auf Dienste wie Gmail ohnehin gesperrt sind.

Greatfire.org scheint in den letzten Wochen auch mehrfach Opfer von DDoS-Angriffen geworden zu sein, die die bei Amazon Web Services und bei GitHub gehosteten Angebote trafen. Die chinesische Regierung hat sich zwar als Opfer dargestellt, eine Beteiligung aber nicht wörtlich abgestritten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.