Mac OS X patzt bei Zertifikatsüberprüfung

Aufgrund eines Bugs können sich Mac-Anwender derzeit nur durch den Einsatz eines alternativen Browsers vor einem Angriff mit falschen SSL-Zertifikaten schützen.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Obwohl schon das Wurzelzertifikat nicht vertrauenswürdig ist...

(Bild: heise Security)

Mac OS X prüft die Zertifikatskette bei sogenannten Extended-Validation-Zertifikaten (EV-SSL) nicht ausreichend, wie Macworld berichtet. Hat man einer Zertifizierungsstelle über die Schlüsselverwaltung das Vertrauen entzogen, akzeptiert Safari trotzdem sang- und klanglos die EV-SSL-Zertifikate, die mit dem blockierten Wurzelzertifikat erstellt wurden. Liefert die angesurfte Webseite hingegen ein einfaches SSL-Zertifikat der betroffenen Root-CA aus, erscheint die erwartete Warnmeldung. Heise Security konnte dieses Verhalten mit Mac OS X Lion nachvollziehen.

Gegenüber normalen SSL-Zertifikaten sind die Vergabekriterien bei der Extended Validation strenger. So muss die Zertifizierungsstelle etwa die Identität und die Geschäftsadresse des Antragstellers überprüfen, während es bei einfachen SSL-Zertifikaten bereits ausreicht, Zugriff auf eine Domain und das dazugehörige Webmaster-Mailkonto zu haben. Diese zusätzlichen Schutzmaßnahmen greifen allerdings nur, solange die Zertifizierungsstelle nicht kompromittiert wurde – wie Mitte Juli bei DigiNotar und zuvor bereits bei Comodo geschehen.

...kommt am unteren Ende der Zertifikatskette ein vertrauenswürdiges Zertifikat heraus.

(Bild: heise Security)

Aufgrund des oben beschriebenen Bugs können sich Mac-Anwender derzeit nur durch den Einsatz eines alternativen Browsers vor Man-in-the-Middle-Angriffen mit den missbräuchlich erstellten Zertifikaten schützen. Ein kurzer Test von heise Security hat gezeigt, dass sich Chrome auf das Zertifikatsmanagement des Betriebssystem verlässt und das gesperrte Wurzelzertifikat dadurch ebenfalls ignoriert. Auch mit Opera konnten wir das Problem nachvollziehen. Einzig Firefox hat beim Besuch der Testseite eine Warnung angezeigt.

Hierzu muss man dem Wurzelzertifikat im Firefox-eigenen Zertifikatsmanager unter "Einstellungen, Erweitert, Zertifikate anzeigen, Zertifizierungsstellen" über den Button "Löschen oder Vertrauen entziehen" alle Rechte wegnehmen. Wann Apple den Bug behebt oder zumindest das Wurzelzertifikat der kompromittierten CA per Update aus dem System befördert, ist derzeit unklar.

Nutzt man das Suchfeld der Schlüsselbundverwaltung, kann man das kompromittierte Wurzelzertifikat auch löschen.

(Bild: heise Security)

Update:
Über einen Umweg kann man Wurzelzertifikate aus Mac OS X löschen, wodurch auch Safari und Co. die erwartete Warnung ausgeben. Hierzu öffnet man über Spotlight die Schlüsselbundverwaltung und gibt in das Suchfeld den Namen des zu löschenden Zertifikats ein. Mit einem Rechtsklick kann man das Wurzelzertifikat nun löschen. Will man sich vor Angriffen mit den DigiNotar-Zertifikaten schützen, muss man also "DigiNotar Root CA" vom System löschen. Navigiert man auf direktem Wege über die Schlüsselbunde zu dem Zertifikat, wird die Löschoption nicht angeboten. Das TrustCenter-Zertifikat auf den Screenshots diente lediglich Testzwecken und ist ungefährlich. (rei)