Categories: BrowserWorkspace

Google sperrt Zertifikate von CNNIC

Google akzeptiert ab sofort keine Zertifikate mehr des China Internet Network Information Center (CNNIC). Der Konzern hat die zentrale Ausgabestelle auf eine schwarze Liste gesetzt. CNNIC gibt Root-Zertifikate Chinas (“Root Certificate Authority” oder kurz CA) aus. Zudem verwaltet sie die Länderdomain .cn. Die Entscheidung betrifft alle Google-Produkte.

Neben Google hatten sich auch Microsoft sowie Mozilla in der vergangenen Woche beschwert, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Diese hatte das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgegeben. Die chinesische Zertifizierungsstelle CNNIC hatte dieses autorisiert.

Mit den Zertifikaten hätten sich Angreifer als Google-Site ausgeben können. Obwohl MCS den Fehler beging, beschuldigte Google das CNNIC, “einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen” zu haben.

Mit MCS Holdings habe CNNIC vereinbart, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden, erklärte die Behörde. Allerdings kamen sie in einem Man-in-the-Middle-Proxy zum Einsatz. Diese können die Kommunikation gesicherter Verbindungen abfangen, indem sie vorgeben, das beabsichtigte Ziel zu sein. So kamen die Zertifikate für *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com und *.googleapis.com zur Anwendung.

In einem aktualisierten Blog zu diesen Vorkommnissen schreibt Google nun: “Wir haben entschieden, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren werden.” Diese will der Konzern durch ein Chrome-Update umsetzen. Bestehende CNNIC-Zertifikate werde Google vorübergehend auf eine öffentlich einsehbare Whitelist setzen, um somit den Übergang für Kunden zu erleichtern.

Weder Google noch CNNIC glaube, dass weitere nicht autorisierte Zertifikate ausgegeben wurden, heißt es weiter. Sie seien tatsächlich nur im Testnetz von MCS verwendet worden, so Google. “CNNIC wird Certificate Transparency für alle seine Zertifikate implementieren, bevor es ihre neuerliche Zulassung beantragt. Wir billigen diese proaktiven Schritte und laden sie ein, neue Anträge zu stellen, sobald angemessene technische und betriebliche Kontrollen eingerichtet wurden.”

CNNIC hat trotz des versöhnlichen Tons seitens Google mit lautem Protest reagiert: “Googles Entscheidung ist für CNNIC weder akzeptabel noch verständlich, und vorerst drängt CNNIC Google ernsthaft, die Rechte und Interessen der User voll zu bedenken.” Es garantiere allen Kunden, an die es Zertifikate ausgegeben habe, dass ihre Rechte und Interessen nicht betroffen sein würden.

Mozilla trifft noch keine Entscheidung

Mozillas für Verschlüsselung zuständiger Manager Richard Barnes sagte Ars Technica, man habe für Firefox noch keine endgültige Entscheidung getroffen. Er schlägt aber eine Art Abmahnverfahren vor. Demnach würden ältere Zertifikate zurückgewiesen, und CNNIC müsste eine Liste aller derzeit gültigen Zertifikate verfügbar machen, sodass eventuell rückdatierte Zertifikate ausfindig gemacht werden könnten. Anschließend würde sich CNNIC neu als Root Certificate Authority bewerben und dabei bestimmte – noch zu definierende – Bedingungen erfüllen müssen.

Der Fall der ägyptischen Zertifikate ist nicht der einzige, in dem das CNNIC als Root CA eine fragwürdige Rolle spielt. Die chinakritische Organisation Greatfire.org hat Apple, Google und Microsoft aufgefordert, das Vertrauen für CNNIC-Zertifikate zurückzuziehen. Damit seien nämlich Angriffe auf chinesische Nutzer der US-Dienste durchgeführt worden: Unbekannte gaben sich etwa als Mailserver von Apple, Google oder Microsoft aus, um Anfragen umzulenken und so an Mails der Nutzer zu kommen beziehungsweise diese am Versand zu hindern. So wurde zu Jahresanfang die chinesische Zensur verschärft, nachdem Webzugriffe auf Dienste wie Gmail ohnehin gesperrt sind.

Greatfire.org scheint in den letzten Wochen auch mehrfach Opfer von DDoS-Angriffen geworden zu sein, die die bei Amazon Web Services und bei GitHub gehosteten Angebote trafen. Die chinesische Regierung hat sich zwar als Opfer dargestellt, eine Beteiligung aber nicht wörtlich abgestritten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

16 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

17 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

18 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago