Fatale Panne bei Zertifikatsherausgeber Türktrust

Der türkische Zertifikatsherausgeber Türktrust hat einen fatalen Fehler begangen: Er hat zwei SSL-Zertifikate ausgestellt, die sich wiederum selbst zum Ausstellen von Zertifikaten für beliebige Domains eignen. Mit einem der sogenannten SubCA-Zertifikate wurde ein SSL-Zertifikat für *.google.com ausgestellt, welches auch zum Einsatz kam. Laut Türktrust handelt es sich bei dem Vorfall um eine Verkettung unglücklicher Umstände, Hinweise auf einen Missbrauch gebe es nicht.

Google hat am Heiligabend festgestellt, dass Chrome-Nutzern bei der Nutzung von Google-Diensten ein Zertifikat präsentiert wurde, das gar nicht im Auftrag des Unternehmens ausgestellt wurde. Bei der Analyse des Zertifikats stelle sich heraus, dass es von einem SubCA-Zertifikat der Zertifizierungsstelle Türktrust ausgestellt wurde, woraufhin sich Google kurz drauf mit der türkischen Firma in Verbindung setzte.

Laut einer kursierenden Stellungnahme von Türktrust wurden die beiden Zertifikate im August 2011 ausgestellt. Offenbar waren die Systeme des Unternehmens nach einer Softwareumstellung fehlerhaft konfiguriert, weshalb sie in zwei Fällen statt gewöhnlicher Webseitenzertifikate die SubCA-Zertifikate an Kunden ausstellten. Laut einem von Microsoft veröffentlichten Advisory wurden die SubCA-Zertifikate auf e-islem.kktcmerkezbankasi.org und *.EGO.GOV.TR ausgestellt. Von letzterer SubCA wurde demnach auch das Wildcard-Zertifikat für die Google-Domain ausgestellt.

Dafür hat Türktrust auch schon eine Erklärung parat: Angeblich war das fälschlicherweise als SubCA herausgegebene Zertifikat zunächst auf einem IIS-Server installiert, der Webmail-Dienste bereitstellte. Am 6. Dezember vergangenen Jahres seien das Zertifikat und der dazugehörige private Schlüssel auf eine Firewall-Appliance von Checkpoint exportiert worden. Diese war angeblich so konfiguriert, dass sie den durchgeschleusten SSL-Traffic als Man-in-the-Middle analysiert und zu diesem Zweck Zertifikate für HTTPS-Webseiten ausstellt, die von Nutzern hinter der Firewall aufgerufen werden. Deshalb soll sie das Google-Zertifikat schließlich erzeugt haben.

Die Zertifizierungsstelle hat das SubCA-Zertifikat nach eigenen Angaben umgehend annulliert, nachdem sie von Google über den Fund informiert wurde. Das andere SubCA-Zertifikat wurde angeblich annulliert, bevor es zum Einsatz kam.

Laut dem Microsoft-Advisory wurden die SubCAs mit einem Stammzertifikat namens "TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri" erstellt. Mozilla erklärt unterdessen in seinem Sicherheitsblog, dass man zumindest vorrübergehend das Stammzertifikat namens "TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Aralık 2007" aus dem Zertifikatsspeicher von Firefox entfernt hat. Dieses war bislang allerdings wohl nur in der Beta von Firefox 18 enthalten.

Mozilla will die beiden SubCA-Zertifikate mit dem nächsten Update am 8. Januar auf die Blacklist setzen. Microsoft hat seine Certificate Trust list (CTL) bereits entsprechend angepasst. Die Liste wird an alle Microsoft-Betriebssysteme seit Vista verteilt. Nutzer älterer Versionen müssen ein Update installieren. Auch Google Chrome vertraut den beiden Zertifikaten nicht mehr, ferner soll der Browser den Extended-Validation-Status von Türktrust-Zertifikaten generell nicht mehr anerkennen. (rei)