Falsches Google-SSL-Zertifikat blieb wochenlang unentdeckt

30. August 2011, 14:28
9 Postings

Iranische Regierung soll so Überwachung von GMail-NutzerInnen betrieben haben

Eigentlich versuchen Web-Service-Anbieter zunehmend mit verschlüsselten Verbindungen die Privatsphäre ihre UserInnen zu schützen. Ein Unterfangen, dass allerdings nur dann erfolgreich sein kann, wenn man tatsächlich sicherstellen kann, dass das "Mitlauschen" für Dritte unmöglich ist. Dreh- und Angelpunkt sind die SSL-Zertifikate, die zur Verschlüsselung dienen sowie die diversen Zertifikatsautoritäten, die für deren Authentizität bürgen sollen.

GAU

Genau dieses System erlebt nun allerdings eine Art "Größter anzunehmender Unfall". So ist es Unbekannten Mitte Juli gelungen, beim niederländischen Unternehme DigiNotar ein gefälschtes Zertifikat für die google.com-Domains unterzubringen. Wird den NutzerInnen in Folge eine Seite mit dem "falschen" Zertifikat untergejubelt, wird es von Browsern als "echt" erkannt, die UserInnen wähnen sich in Sicherheit, während Dritte ihre Daten mitlesen können.

Chrome-Schutz

Bei der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) geht man davon aus, dass das Zertifikat von der iranischen Regierung in Auftrag gegeben wurde, um die GMail-Kommunikation im Land mittels "Man in the Middle"-Attacken  überwachen zu können. Darauf weist hin, dass die Manipulation von einem iranischen User während der GMail-Nutzung entdeckt wurde. Zum Stolperstein für die Spionage wurde dabei eine noch recht neue Sicherheitsfunktion im Browser Chrome: Dieser schränkt seit der Version 13 nämlich die erlaubten Zertifikatsautoritäten für Google-Services auf einige wenige ein - wozu DigiNotar nicht gehört. Also wurde das gefälschte Zertifikat auch als ein solches erkannt.

Ungültig

Mittlerweile reagieren die diversen Browserhersteller auf den aktuellen Vorfall: So hat Microsoft bereits DigiNotar aus der Microsoft Certificate Trust List entfernt - womit alle von dem Unternehmen erstellen Zertifikate ungültig sind. Ähnliches haben Google und Mozilla für Chrome respektive Firefox vor. Mozilla beschreibt zudem, wie man das DigiNotar-Root-Zertifikat noch vor dem nächsten Update manuell entfernen kann.

Kritik

Der aktuelle Vorfall wird wohl erneut die Kritik an dem aktuellen Zertifikatssystem anfachen. Erst vor einigen Monaten gab es viele erboste Stimmen, nachdem der Softwaredienstleister Comodo gehackt wurde - und dabei gültige Zertifikate für diverse bekannte Service - unter anderem jene von Google - entwendet wurden. (apo, derStandard.at, 30.08.11)

Share if you care.