Categories: BrowserWorkspace

Google sperrt Zertifikate von CNNIC

Google akzeptiert ab sofort keine Zertifikate mehr des China Internet Network Information Center (CNNIC). Der Konzern hat die zentrale Ausgabestelle auf eine schwarze Liste gesetzt. CNNIC gibt Root-Zertifikate Chinas (“Root Certificate Authority” oder kurz CA) aus. Zudem verwaltet sie die Länderdomain .cn. Die Entscheidung betrifft alle Google-Produkte.

Neben Google hatten sich auch Microsoft sowie Mozilla in der vergangenen Woche beschwert, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Diese hatte das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgegeben. Die chinesische Zertifizierungsstelle CNNIC hatte dieses autorisiert.

Mit den Zertifikaten hätten sich Angreifer als Google-Site ausgeben können. Obwohl MCS den Fehler beging, beschuldigte Google das CNNIC, “einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen” zu haben.

Mit MCS Holdings habe CNNIC vereinbart, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden, erklärte die Behörde. Allerdings kamen sie in einem Man-in-the-Middle-Proxy zum Einsatz. Diese können die Kommunikation gesicherter Verbindungen abfangen, indem sie vorgeben, das beabsichtigte Ziel zu sein. So kamen die Zertifikate für *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com und *.googleapis.com zur Anwendung.

In einem aktualisierten Blog zu diesen Vorkommnissen schreibt Google nun: “Wir haben entschieden, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren werden.” Diese will der Konzern durch ein Chrome-Update umsetzen. Bestehende CNNIC-Zertifikate werde Google vorübergehend auf eine öffentlich einsehbare Whitelist setzen, um somit den Übergang für Kunden zu erleichtern.

Weder Google noch CNNIC glaube, dass weitere nicht autorisierte Zertifikate ausgegeben wurden, heißt es weiter. Sie seien tatsächlich nur im Testnetz von MCS verwendet worden, so Google. “CNNIC wird Certificate Transparency für alle seine Zertifikate implementieren, bevor es ihre neuerliche Zulassung beantragt. Wir billigen diese proaktiven Schritte und laden sie ein, neue Anträge zu stellen, sobald angemessene technische und betriebliche Kontrollen eingerichtet wurden.”

CNNIC hat trotz des versöhnlichen Tons seitens Google mit lautem Protest reagiert: “Googles Entscheidung ist für CNNIC weder akzeptabel noch verständlich, und vorerst drängt CNNIC Google ernsthaft, die Rechte und Interessen der User voll zu bedenken.” Es garantiere allen Kunden, an die es Zertifikate ausgegeben habe, dass ihre Rechte und Interessen nicht betroffen sein würden.

Mozilla trifft noch keine Entscheidung

Mozillas für Verschlüsselung zuständiger Manager Richard Barnes sagte Ars Technica, man habe für Firefox noch keine endgültige Entscheidung getroffen. Er schlägt aber eine Art Abmahnverfahren vor. Demnach würden ältere Zertifikate zurückgewiesen, und CNNIC müsste eine Liste aller derzeit gültigen Zertifikate verfügbar machen, sodass eventuell rückdatierte Zertifikate ausfindig gemacht werden könnten. Anschließend würde sich CNNIC neu als Root Certificate Authority bewerben und dabei bestimmte – noch zu definierende – Bedingungen erfüllen müssen.

Der Fall der ägyptischen Zertifikate ist nicht der einzige, in dem das CNNIC als Root CA eine fragwürdige Rolle spielt. Die chinakritische Organisation Greatfire.org hat Apple, Google und Microsoft aufgefordert, das Vertrauen für CNNIC-Zertifikate zurückzuziehen. Damit seien nämlich Angriffe auf chinesische Nutzer der US-Dienste durchgeführt worden: Unbekannte gaben sich etwa als Mailserver von Apple, Google oder Microsoft aus, um Anfragen umzulenken und so an Mails der Nutzer zu kommen beziehungsweise diese am Versand zu hindern. So wurde zu Jahresanfang die chinesische Zensur verschärft, nachdem Webzugriffe auf Dienste wie Gmail ohnehin gesperrt sind.

Greatfire.org scheint in den letzten Wochen auch mehrfach Opfer von DDoS-Angriffen geworden zu sein, die die bei Amazon Web Services und bei GitHub gehosteten Angebote trafen. Die chinesische Regierung hat sich zwar als Opfer dargestellt, eine Beteiligung aber nicht wörtlich abgestritten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Tagen ago