Software::Security
Zertifikate von DigiNotar endgültig weg
Der Skandal um die Zertifizierungsstelle DigiNotar hat sich ausgeweitet und jetzt dazu geführt, dass Mozilla und die Linux-Distributoren ihre Zertifikatslisten ein weiteres Mal aktualisieren. Dieses Mal werden die betroffenen Root-Zertifikate komplett entfernt.
Vor gut einer Woche war bekannt geworden, dass gefälschte Zertifikate für Google und andere Webseiten kursierten. Diese waren scheinbar von dem niederländischen Dienstleister DigiNotar ausgestellt worden. Tatsächlich hatte sich bereits zwei Monate vorher ein Einbruch in die Server von DigiNotar ereignet, den das Unternehmen vertuscht hatte. Die Einbrecher waren dadurch in den Besitz der Daten gekommen, um beliebige, von DigiNotar beglaubigte, Zertifikate ausstellen zu können. Die Electronic Frontier Foundation (EFF) hatte anlässlich des Falles vor der prinzipiellen Unsicherheit der Zertifizierungsstellen gewarnt.
Die Browserhersteller, unter anderem Mozilla und Google, sowie viele Linux-Distributoren, hatten mit Updates (Firefox 6.0.1 u.a.) reagiert. Darin wurde das Root-Zertifikat von DigiNotar als nicht mehr vertrauenswürdig eingestuft. Gleiches galt für andere Zertifikate, die von DigiNotar signiert waren. Dabei wurden allerdings einige Ausnahmen gemacht, die nach wie vor als sicher galten.
Inzwischen stellte sich heraus, dass noch mehr Zertifikate betroffen waren als ursprünglich angenommen. So soll es auch gefälschte Zertifikate für Microsoft, Facebook und Twitter geben. Insbesondere waren auch Teile einer vom niederländischen Staat betriebenen Public Key Infrastructure (PKI) betroffen. Das System PKIoverheid stellt Zertifikate für staatliche Stellen aus und ist damit besonders kritisch. Die Regierung der Niederlande war nun so erbost, dass sie die Kontrolle über DigiNotar übernommen hat.
Mozilla hat auf die Ereignisse mit einem zweiten Update für Firefox (6.0.2), Thunderbird (6.0.2) und Seamonkey (2.3.3) reagiert. In diesem wird das DigiNotar-Zertifikat komplett entfernt. Für Besitzer eines von DigiNotar ausgestellten Zertifikats bedeutet das, dass sie besser ein neues Zertifikat einer anderen Zertifizierungstelle erwerben. Für die Benutzer der Mozilla-Produkte oder darauf aufbauenden Paketen bedeutet es eine neue Update-Runde. Die Linux-Distributoren haben teils bereits neue Updates herausgegeben oder werden das in Kürze tun.
