Firefox soll falsche SSL-Zertifikate enttarnen

Ab der nächsten Version 32 soll auch Firefox das sogenannte "Public Key Pinning" beherrschen, um vor missbräuchlich ausgestellten Zertifikaten vertrauenswürdiger Herausgeber zu warnen. Damit wandelt Mozilla in den Spuren von Google, dessen Chrome-Browser das Pinning bereits seit längerem beherrscht.

Zertifikatsherausgeber (Certificate Authorities, CAs) können grundsätzlich gültige Zertifikate für jede beliebige Domain wie etwa Google.com ausstellen. Dabei müssen sie eigentlich überprüfen, ob das Zertifikat vom legitimen Besitzer der Domain beantragt wurde. Es kam jedoch schon mehrfach vor, dass diese Überprüfung nicht stattgefunden hat – teilweise unter mysteriösen Umständen. Befindet sich die betroffene CA etwa auf der Liste der vertrauenswürdigen Herausgeber des Browsers, kann das fatale Folgen haben: Gelingt es einem Angreifer, den Traffic seines Opfers umzuleiten, kann er sich dann unbemerkt in den verschlüsselten Datenverkehr einklinken, ihn mitlesen und manipulieren.

Beim Public Key Pinning gibt es eine Liste, in der verzeichnet ist, welcher Herausgeber Zertifikate für eine bestimmte Domain ausstellen darf. Wurde das Zertifikat von einer anderen CA ausgestellt, bewertet es der Browser als ungültig. Die Liste wird vom Browser-Hersteller vorgegeben. Mozilla plant offenbar, nach und nach die Liste von Google Chrome zu übernehmen. Den Anfang machen mit Version 32 diverse Twitter-Domains sowie die Domains von Mozillas Addon-Verzeichnis und Content Delivery Network.

Mit Version 33 folgen die Google-Domains sowie weitere von Twitter und mit Version 34 sollen schließlich auch Dropbox, TOR und *.accounts.firefox.com aufgenommen werden. Künftig soll Firefox auch die Public Key Pinning Extension for HTTP unterstützen. Damit können Webseitenbetreiber dann über den HTTP-Header festlegen, welche CAs sie üblicherweise benutzen. Dies beachtet der Browser ab dem nächsten Besuch. (rei)