EU-Behörde für IT-Sicherheit kritisiert Zertifizierungsstellen

Die EU-Behörde für IT-Sicherheit Enisa beschreibt in ihrem Bericht "Operation Black Tulip: Certificate authorities lose authority" die Hauptprobleme der jüngst vorgefallenen DigiNotar-Hacks. Darüber hinaus macht die europäische Agentur Vorschläge zur Erhöhung der Sicherheit von Zertifizierungsstellen (Certificate Authorities, CA) – etwa durch eine Alternative zum SSL-CA-System. Damit äußert sich erstmals eine EU-Institution offiziell zu den Attacken auf Zertifizierungsstellen, in deren Verlauf Angreifer gefälschte SSL-Zertifikate ausgestellt hatten.

Enisa kritisiert, dass DigiNotar die zuständigen Behörden nicht unverzüglich über die Attacken in Kenntnis gesetzt und somit die Sicherheit und Privatsphäre von Millionen Bürgern gefährdet habe. Eine sofortige Benachrichtigung hätte die erheblichen Auswirkungen der Sicherheitspanne begrenzen können. Erst Mitte September hatte die niederländische Aufsichtsbehörde für Telekommunikation (OPTA) DigiNotar untersagt, weitere Zertifikate auszustellen.

Für problematisch hält die Sicherheitsbehörde darüber hinaus eine grundlegende Schwäche im HTTPS-Design. In den Browsern und Betriebssystemen werden laut Enisa standardmäßig etwa 600 CAs als vertrauenswürdig eingestuft. Ein Fehler von einer CA stelle somit ein Risiko für alle Anwender und Webseiten dar. Zudem wird von Browsern oft das OCSP (Online Certificate Status Protocol) zur Überprüfung von gültigen Zertifikaten nicht verwendet.

Die Sicherheit von HTTPS hänge derzeit von der schwächsten CA ab, bilanziert Enisa. Es habe bereits verschiedene Vorschläge für eine Alternative zur HTTPS-Implementierung gegeben. Die Sicherheitsbehörde schlägt nun Convergence als sicheren Ersatz für das CA-System vor. Der entscheidende Vorteil soll darin liegen, dass der Anwender selbst entscheidet, welcher Instanz er vertraut. (dta)