Werbung
Auch zwei Tage nach der Entdeckung eines gefälschten SSL-Zertifikats bei Google Mail, kommen immer neue bedenkliche Details über den Herausgeber dieses Zertifikats ans Licht. Ursprünglich war das Zertifikat am 10. Juli von DigiNotar erstellt worden und ab einem unbestimmten Zeitpunkt im Einsatz. Nach dem iranischen Nutzern dies aufgefallen war, hatten sich die meisten Browserhersteller dazu entschlossen, die CA (Certification Authority) DigiNotar grundsätzlich als nicht vertrauenswürdigen Herausgeber zu kennzeichnen. Das betroffene Unternehmen lies danach verlauten, man sei Opfer eines Hackerangriffs geworden und habe die betroffenen Zertifikate direkt zurückgezogen, bis auf jenes für die Google-Subdomains, welches bedauerlicherweise übersehen wurde.
Jedoch scheint diese Darstellung nicht unbedingt die ganze Wahrheit zu sein. Grundsätzlich muss sich DigiNotar die Frage gefallen lassen, warum der Einbruch nicht bereits im Juli veröffentlicht wurde, schließlich sind die SSL-Zertifikate ein wichtiger Baustein, wenn es um die Verschlüsselung der Kommunikation zwischen Seiten und Besucher geht. In welchem Ausmaß Fälschungen von den Angreifern angelegt wurde, auch darüber hat der Zertifizierer bisher nichts verlauten lassen. Er versicherte lediglich die ihm bekannten Fälschungen zurückgezogen zu haben. Der Sicherheitsexperte Mikko Hypponen von F-Secure berichtet außerdem, dass sich Hinweise auf den Webservern von DigiNotar befinden, die vermuten lassen, dass in die Server seit 2009 bereits mehrfach eingebrochen wurde.
Bei dem jüngst entdeckten Angriff sollen die Angreifer nach neusten Erkenntnissen mindestens 257 Zertifikate ausgestellt haben, wobei unklar ist, welche Seiten betroffen sind. Das SSL-Konzept sieht vor, dass Zertifikate zurückgezogen werden können und auf einer entsprechenden Liste vermerkt werden. Diese Certificate Revocation List (CRL) überprüpfen theoretisch alle Browser bevor sie ein Zertifikat anerkennen. Falls keine Verbindung zu dieser Liste zustande kommt, müssten theoretisch alle Zertifikate vorsorglich als nicht vertrauenswürdig eingestuft werden. Da dies im Alltag aber zu mitunter falschen Fehlermeldungen führen würde, ist das Gegenteil der Fall und das Zertifikat wird zunächst als sicher angenommen, solange dem Herausgeber über das sogenannte Root-Zertifikat selbst vertraut wird. Kann ein Angreifer diese Abfrage also blockieren, kann er sein eigentlich zurückgezogenes Zertifikat als vertrauenswürdig darstellen.
Bis auf Opera wenden alle großen Hersteller dieses Verfahren an, weshalb dort diverse Updates nötig wurden. Während Microsoft ab Windows Vista eine gesonderte Liste mit vertrauenswürdigen Zertifikaten pflegt, wird es für Windows XP ein Update geben. Mozilla hat seine im Browser integrierte Liste per Update entschärft. Für Chrome hat Google zunächst zehn Zertifikate direkt gesperrt und wird in einem weiteren Update die 247 weiteren ebenfalls auf die eigene Sperrliste stellen. Ob DigiNotar selbst noch als vertrauenswürdiger Herausgeber angenommen wird, kann man mit dem Aufruf der verschlüsselten DigiNotar-Seite feststellen. Wenn die Updates erfolgreich waren, sollte aktuell eine Warnmeldung erscheinen. DigiNotar selbst schreibt zu den zurückgezogenen Zertifikaten, dass 99,99% der Warnmeldungen falsch sein und empfiehlt das eigene Root-Zertifikat wieder zu installieren.
Weiterführende Links: