DarkMatter will auf Mozillas Zertifikat-Whitelist

DarkMatter, in den Vereinigten Arabischen Emiraten ansässiges Cyber-Security-Unternehmen, das seine Dienste auch als repressiv eingestuften Regierungen im arabischen Raum anbietet, hat bei Mozilla die Registrierung als vertrauenswürdiger Aussteller von HTTPS-Zertifikaten beantragt. Die Firma ist einerseits aufgrund seines Geschäftsmodells, zudem eben auch staatliche Spionage gehört, höchst umstritten. Das Unternehmen beruft sich aber andererseits auf seinen einwandfreien Ruf als Certificate Authority.

Das Unternehmen reichte vor einigen Monaten einen Fehlerbericht für den Mozilla-Browser Firefox ein. Darin bittet das Unternehmen um Aufnahme seines Root-Zertifikats in den Certificate Store von Firefox. Dabei handelt es sich um eine interne Whitelist von vertrauenswürdigen Zertifizierungsstellen für digitale Zertifikate (Certificate Authority, CA). Bei CAs handelt es sich um geprüfte Unternehmen oder Organisationen, die TLS-Zertifikate ausstellen, die unter anderem für die verschlüsselte HTTPS-Kommunikation verwendet werden. Mozilla wiederum nutzt den Certificate Store seines Browsers, um zu prüfen, ob ein TLS-Zertifikat einer Website vertrauenswürdig ist, bevor Firefox den Inhalt einer verschlüsselten Website lädt.

Apple, Google und Microsoft verfahren mit ihren Browsern und Betriebssystemen ähnlich: alle Zertifikate von Organisationen, die über ein registriertes Root-Zertifikat verfügen, werden automatisch als vertrauenswürdig eingestuft. Im Fall von DarkMatter hieße das, dass seine Zertifikate ebenfalls stets als vertrauenswürdig angesehen würden. Auch Antivirensoftware würde Anwendungen vertrauen, die von DarkMatter signiert wurden – also möglicherweise auch Spionage-Apps des Unternehmens.

DarkMatter betont, dass es nie auch nur ein einziges TLS-Zertifikat missbraucht habe. Von daher gebe es keinen Grund, dass Unternehmen anders zu behandeln als andere CAs, die die Registrierung ihres Root-Zertifikats für den Certificate Store von Firefox beantragt hätten. Kritik üben indes Organisationen wie der Electronic Frontier Foundation (EFF) und Amnesty International. “Angesichts des geschäftlichen Interesses von DarkMatter, TLS-Kommunikation abzufangen, scheint es eine sehr schlechte Idee zu sein, sie zu einer vertrauenswürdigen Root-Liste hinzuzufügen”, sagte Cooper Quintin von der Electronic Frontier Foundation.

In einem Eintrag im EFF-Blog weist er zudem auf Mozillas Erfahrungen mit CNNIC, der staatlichen Zertifizierungsstelle der chinesischen Regierung hin. Ihr Rootzertifikat sei 2009 akzeptiert worden. 2015 sei dann ein Missbrauch festgestellt worden, der es Behörden des Landes erlaubt habe, für Google gedachten Traffic abzufangen.

DarkMatter ist es aktuell bereits möglich, TLS-Zertifikate über eine Tochter von DigiCert auszustellen. Dabei soll es bereits zu Unregelmäßigkeiten gekommen sein, die offenbar auf technischen Problemen basierten. Ein offener Missbrauch wurde bisher nicht nachgewiesen. Nicht näher genannte Mozilla-Mitarbeiter erklärten gegenüber ZDNet USA, Mozilla prüfe den Antrag von DarkMatter noch. Von DarkMatters Geschäftsmodell soll Mozilla indes erst im Januar über einen Bericht der Agentur Reuters erfahren haben. Daraufhin soll Mozilla eine neue Diskussion auf Google Groups gestartet haben, um mehr Rückmeldungen aus der Community zu erhalten. Die dort geäußerte Kritik soll Mozilla wahrscheinlich als Grund nutzen, um den Antrag von DarkMatter abzulehnen.

“Die Mozilla-Root-Store-Richtlinie gewährt uns das Ermessen, Maßnahmen zu ergreifen, die auf dem Risiko für Personen basieren, die unsere Produkte verwenden. Trotz des Fehlens direkter Beweise für einen Missbrauch durch DarkMatter kann dies ein Zeitpunkt sein, an dem wir unser Ermessen nutzen sollten, um im Interesse von Personen zu handeln, die sich auf unseren Root-Speicher verlassen”, teilte Mozilla mit.