SSL-Zertifikate für Google-Domains unerlaubt ausgestellt

Google hat vor unerlaubt erstellten SSL-Zertifikate für mehrere Google-Domains gewarnt. Sie stammen vom ägyptische Unternehmen MCS (Mideast Communication Systems), das als Zwischen-Zertifizierer agiert. Die chinesische Zertifizierungsstelle CNNIC hatte die Firma autorisiert. Alle Browser und Betriebssysteme vertrauen den regelwidrig ausgestellten Zertifikaten, da CNNIC in sämtlichen Root-Speichern enthalten ist. Möglicherweise kamen die Zertifikate auch für andere Domains zum Einsatz.

CNNIC habe mit MCS Holdings vereinbart, dass die betroffenen Zertifikate lediglich für Domains genutzt werden dürfen, die von diesem Unternehmen selbst registriert wurden, teilte die Zertifizierungsstelle auf Nachfrage mit. Allerdings seien sie in einem Man-in-the-Middle-Proxy zum Einsatz gekommen. Diese können Kommunikation gesicherter Verbindungen abfangen. Dafür geben sie sich als das beabsichtigte Ziel aus. Unter anderem nutzen Firmen diese, um das Surfverhalten von Mitarbeitern zu überwachen.

In der Regel müssen dafür die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. Allerdings erhielt der Proxy von einer öffentlichen Zertifizierungsstelle die volle Autorität. Googles Sicherheitsspezialist Adam Langley schreibt in einem Blog, dass dies eine ernsthafte Verletzung des CA-Systems darstelle. Der Fall sei vergleichbar mit der im Jahr 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.

Chrome sowie Firefox ab Version 33 haben Langley zufolge die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.

Keine Missbrauchsfälle bekannt

Bislang sind keine konkreten Missbrauchsfälle durch den aktuellen Vorfall bekannt. Allerdings weist er wieder einmal auf eine Schwäche des SSL-Systems hin, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.

Es ist nicht das erste Mal, dass ein Fehler im System für SSL-Zertifikate entdeckt wurde. Erst letzte Woche warnte Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.

[mit Material von Bernd Kling, ZDNet.de]

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago