Software::Desktop
Mozilla gegen Spionage-Zertifikate
Mozilla hat alle Zertifizierungsstellen aufgefordert, alle Zertifikate zu melden, die bestimmten Stellen das Mitlesen von Web-Traffic ermöglichen, und diese Zertifikate sofort zu invalidieren.
Mozilla Foundation
Offenbar haben einige Zertifizierungsstellen über nachgeordnete Zertifizierungsstellen Zertifikate ausgestellt, die eine Mitlesefunktion eingebaut haben. Durch solche Zertifikate kann einem Benutzer vorgetäuscht werden, dass er mit einem Server mit einer Verschlüsselung kommuniziert, die nach dem Stand der Technik nicht geknackt werden kann. In Wahrheit jedoch können Geheimdienste oder wer auch immer diese Zertifikate gekauft hat die Kommunikation im Klartext aufzeichnen. Es handelt sich um eine Variante des als »Man in the Middle« bekannten Angriffs auf Kryptografiesysteme.
Die Nachricht von Mozilla an die Zertifizierungsstellen könnte nicht deutlicher sein: Solche Zertifikate sind nicht akzeptabel, auch dann, wenn der Zweck nur ist, sie innerhalb eines geschlossenen Netzes einzusetzen.
Der Browser Firefox besitzt im Auslieferungszustand eine Liste von Stammzertifikaten bekannter Zertifizierungsstellen, denen automatisch vertraut wird. Beim Besuch einer Webseite, deren Zertifikat von einer dieser Stellen signiert ist, wird von einer korrekten Implementierung der Verschlüsselung und einem vertrauenswürdigen Betreiber ausgegangen, bei allen anderen Zertifikaten dagegen wird der Benutzer gewarnt und empfohlen, die Webseite nicht zu besuchen. Daher kann Mozilla einen gewissen Druck auf die Zertifizierungsstellen ausüben, da diese daran interessiert sind, dass ihr Stammzertifikat in Firefox bleibt. So fordert Mozilla nun ganz klar, dass die Stellen spätestens bis zum 27. April entsprechende Zertifikate zurückzuziehen und Mozilla genaue Auskunft geben, welche Zertifikate betroffen sind. Das Ziel von Mozilla und wohl auch anderen Browserherstellern ist, diese Zertifikate in eine schwarze Liste aufzunehmen und in jedem Fall als ungültig zu betrachten.
Nach der Auffassung von Mozilla ist jede Zertifizierungsstelle letztlich für jedes Zertifikat verantwortlich, das sie direkt oder über Unter-Zertifizierungsstellen ausgibt. Zertifizierungsstellen, die den Ansprüchen von Mozilla nicht genügen, werden ihren Eintrag in der Liste der Stammzertifikate verlieren. Mozilla sieht sich sehr stark dafür mitverantwortlich, dass das Vertrauen in Zertifikate gewahrt bleibt.
){kind=logo}
