Google deckt erneut Missbrauch im SSL-Zertifizierungssystem auf

Über das Public-Key-Pinning im Webbrowser Chrome ist Google auf gefälschte Zertifikate für Google-Domains gestoßen. Diese werden von der Root-CA CNNIC beglaubigt, der viele Betriebssysteme und Browser beim Aufbau verschlüsselter Verbindungen vertrauen.

In Pocket speichern vorlesen Druckansicht 92 Kommentare lesen
Server

(Bild: dpa, Sven Hoppe/Archiv)

Lesezeit: 2 Min.
Von
  • Reiko Kaps

Google ist auf mehrere gefälschte SSL-Zertifikate für Google-Domains gestoßen, die von der Zwischen-Zertifizierungsstelle MCS Holding herausgegeben wurden. Deren CA-Zertifikat wird von der Root-Certificate-Authority China Internet Network Information Center (CNNIC) beglaubigt.

CNNICs Root-Zertifikat findet sich in den meisten Betriebssystemen und Browsers, die damit den gefälschten Zertifikaten von MCS vertrauen. Einzig die Webbrowser Chrome und Firefox (ab Version 33) sowie ChromeOS weisen sie für Google-Domains zurück, da den Domains dort SSL-Zertifikate ausdrücklich zugeordnet werden (Public-Key Pinning).

Viele Betriebssysteme (hier Windows 7 Professional) und Browser vertrauen von CNNIC beglaubigten Zwischenzertifizierungsstellen wie MCS, die gefälschte Domain-Zertifikate in Umlauf gebraucht haben.

Google hat CNNIC und die großen Browser-Hersteller inzwischen informiert sowie die Zertifikate von MCS in Chrome blockiert. CNNIC erklärte daraufhin, dass ihr Vertrag mit MCS nur die Zertifikate umfasst, die MCS auch selbst registriert habe. MCS habe allerdings ihren Private-Key auf einem Man-in-the-Middle-Proxy installiert, der damit wie eine öffentliche Zertifizierungsstelle agierte. Laut Google ist das eine schwere Verletzung des gesamten CA-Systems vergleichbar mit den Verfehlungen der französischen Sicherheitsbehörde ANSSI im Jahr 2013.

Derartige Man-in-the-Middle-Proxies werden üblicherweise in Firmennetzen eingesetzt. Dabei wird in der Regel auf allen Clients eine Extra-Zertifikat für diesen Zweck eingerichtet. Durch den Private-Key von MCS im Proxy war das Präparieren der Client-Geräte unnötig, da die vom Proxy ausgestellten Domain-Zertifikate über das in den Clients bereits installierte Root-Zertifikat von CNNIC beglaubigt werden.

Google beklagt, dass CNNIC seine Verantwortung und Autorität weiterhin einer Organisation leiht, die nicht in der Lage ist, diese angemessen einzusetzen. Das Unternehmen habe bislang keine Hinweise auf einen Missbrauch und empfehle auch nicht, etwa Passwörter zu ändern. Derzeit überlege der Suchmaschinenbetreiber, was sonst noch gegen den Missbrauch getan werden kann. (rek)