Software::Security
EFF: Gefährliche Unsicherheit der Zertifizierungsstellen
Die Electronic Frontier Foundation hat den jüngsten Fall eines betrügerischen Zertifikats für Google-Dienste kommentiert. Google und Mozilla planen, dem Aussteller des Zertifikats ihr Vertrauen zu entziehen.
Erst gestern war bekannt geworden, dass bestimmte Stellen im Iran, möglicherweise der Geheimdienst, Internetbenutzer auf gefälschte Webseiten umleiten, wenn sie Google-Dienste aufrufen. Um die Fälschung zu verschleiern, benutzen sie gefälschte Zertifikate, die von dem Dienstleister DigiNotar ausgestellt worden waren. Diesem Dienstleister, ebenso wie vielen anderen, vertrauen die meisten Browser bisher automatisch, indem dessen Stammzertifikat im Browser gespeichert ist. Benutzer erhalten daher bei Zertifikaten, die von DigiNotar ausgestellt sind und zur aufgerufenen Webseite passen, keine Warnung. Im aktuellen Fall ist die Folge, dass iranische Benutzer trotz vermeintlich sicherer Verschlüsselung ausgespäht werden können, mit möglicherweise drastischen Folgen, insbesondere für Regimegegner.
Es ist klar, dass DigiNotar nicht berechtigt war, Zertifikate für Google-Dienste auszustellen. Ob die Zertifizierungsstelle von Kriminellen geknackt wurde, das Zertifikat ohne ordentliche Prüfung ausgestellt wurde oder einfach Geldgier angenommen werden muss, ist noch offen. Tatsache ist, dass alle diese Fälle bereits vorgekommen sind und selbst den renommiertesten Zertifizierungsstellen schon mangelhafte Prüfung der Zertifikatsanträge vorgeworfen wurde.
Für die Electronic Frontier Foundation (EFF) ist einer der schlimmsten Aspekte in diesem Fall, dass es beinahe zwei Monate dauerte, bis der Betrug entdeckt wurde. Die Entdeckung erfolgte durch einen Benutzer, der eine neuere Version von Google Chrome einsetzte. Dieser Browser enthält die Zertifikate der Google-Dienste eingebaut und kann daher Fälschungen zuverlässig entdecken. Für die EFF zeigt der Vorfall, dass das System der Zertifizierungsstellen grundlegende Mängel hat und überlegt werden muss, wie man diese abmildert. Einige Browserhersteller werden wohl dem Beispiel von Google folgen und Server-Zertifikate direkt in den Browser einbauen. Die EFF versucht mit dem SSL Observatory unter anderem, solche Fälle zu entdecken. Auch das Browser-Plugin HTTPS Everywhere soll die Sicherheit der Benutzer erhöhen. Weitere Maßnahmen zur sicheren Verteilung der Server-Schlüssel sind in Entwicklung.
Die gefälschten Zertifikate wurden von DigiNotar inzwischen offenbar für ungültig erklärt. Um dies zu wissen, müssen die Browser allerdings Zugriff auf diese Information haben und sie auch holen. DigiNotar hat das Vertrauen der Browserhersteller wohl verspielt: Google will das Stammzertifikat von DigiNotar aus der nächsten Version von Chrome entfernen, und Mozilla plant selbiges für Firefox und gibt bereits jetzt Hinweise zur Entfernung von DigiNotar.
