Software::Security
Chrome und Firefox sperren gefälschte Server-Zertifikate
Seit Freitag waren offenbar gefälschte Server-Schlüssel von Google im Umlauf. Google reagierte darauf, indem es die betroffenen Schlüssel im Webbrowser Chrome ungültig macht. Die anderen Browser-Hersteller wurden benachrichtigt, so wird auch Mozilla mit Firefox demnächst folgen.
Google
Um mit einem Web-Server über HTTPS zu kommunizieren, benötigt man kryptografische Schlüssel. Da jeder selbst solche Schlüssel erzeugen kann, lassen Server-Betreiber ihre Schlüssel üblicherweise von einer sogenannten Zertifizierungsstelle beglaubigen. Sofern diese korrekt arbeitet, prüft sie vorgelegte Schlüssel darauf ab, dass der Schlüsselbesitzer der ist, für den er sich ausgibt, und das Recht hat, diesen Schlüssel zu besitzen. Denn der Zertifizierungsstelle muss man als Anwender vertrauen. Doch laut einem
Bericht von Google waren seit Freitag Zertifikate im Umlauf, die vorgaben, zu Google-Servern zu gehören, aber nicht von Google kamen. Mit ihnen konnten Kriminelle unter Umständen die verschlüsselte Kommunikation zwischen Anwendern und Google-Servern abfangen und entschlüsseln, ohne dass die Anwender es bemerkten.
Der Aussteller der gefälschten Zertifikate war die ägyptische Firma MCS Holdings, die ihrerseits von der Zertifizierungsstelle des China Internet Network Information Center (CNNIC) beglaubigt worden war. Wie sich herausstellte, hat MCS Holdings den Schlüssel nicht ausreichend gesichert und zudem vertragswidrig verwendet. Google hält CNNIC für mitschuldig an dem Problem. Als unmittelbare Reaktion wurde der Schlüssel von MCS Holdings im Webbrowser Chrome gesperrt. Dafür gibt es einen besonderen Mechanismus namens CRLSets, über den Informationen über gesperrte Zertifikate schnell an die laufenden Browser gelangen. Laut Google ist das ein weiteres Beispiel dafür, dass Zertifikatstransparenz, ein Projekt zur Verbesserung der Sicherheit von SSL-Zertifikaten, wichtig ist.
Die anderen Browser-Hersteller wurden ebenfalls von dem Problem in Kenntnis gesetzt. Wie Mozilla meldet, ist Firefox derzeit noch nicht in der Lage, Zertifikate von untergeordneten Zertifizierungsstellen für ungültig zu erklären. Dafür wäre ein Update des gesamten Browsers nötig, da die Zertifikate darin enthalten sind. Doch ab Firefox 37, der bald erscheinen wird, gibt es den OneCRL-Mechanismus, der ein Update der Liste wie bei Chrome ermöglicht. Der Mechanismus wird auch in den nachfolgenden Versionen, insbesondere Firefox 38 ESR, vorhanden sein. Über weitere MCS Holdings betreffende Maßnahmen will Mozilla noch entscheiden.
){kind=logo}
