DigiNotar-Hack: GlobalSign stellt vorerst keine Zertifikate mehr aus

Nachdem der mutmaßliche DigiNotar-Hacker behauptet hat, auch GlobalSign unter seiner Kontrolle zu haben, hat die CA Untersuchungen eingeleitet. Unterdessen schützen Microsoft und Mozilla ihre Kunden mit neuen Patches vor falschen Zertifikaten.

In Pocket speichern vorlesen Druckansicht 127 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Die Zertifizierungsstelle GlobalSign hat die Ausstellung von SSL-Zertifikaten vorübergehend eingestellt. Das teilte das Unternehmen am Dienstag in Boston (US-Bundesstaat Massachussetts) mit. Zuvor hatte ein Unbekannter behauptet, nach den Angriffen auf die Zertifizierungsstellen DigiNotar und Comodo die Kontrolle über drei weitere Certification Authorities (CA) erlangt zu haben und dabei GlobalSign genannt. Man nehme die Behauptung sehr ernst und führe gerade Ermittlungen durch, heißt es in der kurzgehaltenen Stellungnahme der Zertifizierungsstelle.

Unterdessen hat Microsoft das angekündigte Update für Windows XP und neuere Versionen veröffentlicht, das den Stammzertifikaten der kompromittierten DigiNotar-CA das Vertrauen entzieht und sie auf die Liste der nicht vertrauenswürdigen Herausgeber setzt. Von dem Patch profitieren vor allem Anwender von Windows XP und Server 2003, da Microsoft erst seit Vista automatisch eine Liste vertrauenswürdiger Stammzertifikate pflegt.

Das Update wird derzeit noch nicht über Windows Update verteilt, sondern muss von Hand installiert werden. [Update] Das Update wird bereits über Windows Update ausgeliefert. [/Update] Microsoft gab an, die Verteilung über Windows Update in den Niederlanden aufgrund einer Anfrage der niederländischen Regierung weiter hinauszögern zu wollen – es entfernt auch Stammzertifikate der für staatliche Zwecke genutzten CA PKIoverheid. Wer die Zertifikate von Hand löschen oder den Vorgang mittels des Kommandozeilentools certutil.exe automatisieren will, findet eine Anleitung bei Microsoft.

Mozilla musste nach dem DigiNotar-Hack bereits zum zweiten Mal einschreiten und hat erneut Updates herausgebracht, die nach dem DigiNotar-Stammzertifikat nun auch die CA Staat der Nederlanden aus der Liste der vertrauenswürdigen Herausgeber entfernen. Aktuell sind nun Firefox 6.0.2 und 3.6.22, Thunderbird 6.0.2, 3.1.14 und 7.0 Beta sowie SeaMonkey 2.3.3.

Update: Nach Beobachtungen von heise Security entfernt das Firefox-Update nicht das Stammzertifikat "Staat der Nederlanden CA", sondern nimmt die Stammzertifikate "Diginotar Root CA", "Diginotar Services 1024 CA" sowie zwei Stammzertifikate mit dem Namen "Diginotar Cyber CA" als nicht vertrauenswürdig, also ohne jegliche Rechte, in den Firefox-Zertifikatsspeicher auf.

Inzwischen hat GlobalSign das Sicherheitsunternehmen Fox-IT um Unterstützung gebeten. Fox-IT hat bereits den Einbruch bei DigiNotar untersucht. (rei)