Mozilla geht gegen Aussteller von Man-in-the-Middle-Zertifikaten vor
Die Mozilla Foundation verlangt von Certification Authorities, alle für Dritte ausgestellten CA-Unterzertifikate zurückzuziehen, die zum Abhören verschlüsselter Verbindungen benutzt werden können.
- Christian Kirsch
Die Mozilla Foundation fordert in einer Mail an Certification Authorities (CA), auf das Ausstellen von Zertifikaten fĂĽr Unter-CAs zu verzichten, die zum Ăśberwachen von verschlĂĽsseltem Datenverkehr genutzt werden. Hintergrund ist der vor Kurzem bekanntgewordene Fall der von Trustwave aufgebauten Man-in-the-Middle-CA.
Das Unternehmen hatte einer Firma ein CA-Zertifikat verkauft, mit dem sich diese gültige Zertifikate für beliebige Server ausstellen konnte. Damit war es ihr möglich, analog zu einem Man-in-the-Middle-Angriff auch den SSL-verschlüsselten Datenverkehr ihrer Mitarbeiter zu überwachen. Mittlerweile habe Trustwave das CA-Zertifikat jedoch widerrufen und werde solche Sub-CAs in Zukunft nicht mehr ermöglichen, teilte das Unternehmen mit.
Die für das CA-Modul der Mozilla-Software zuständige Kathleen Wilson verlangt nun in ihrem Schreiben bis zum 2. März die Zusage, dass alle CAs untergeordnete Zertifikate, die Dritten das Abhören des Datenverkehrs erlauben, bis spätestens 27. April widerrufen. Zugeordnete Hardware-Module wie Smartcards seien zu zerstören. Sollten nach dem 27. April solche Sub-CAs entdeckt werden, werde man die nötigen Schritte bis hin zur Entfernung des Wurzel-Zertifikats aus der Mozilla-Software ergreifen, droht Mozilla unverhohlen.
Wilson will die Reaktionen der CAs auf ihr Schreiben publizieren. Gleichzeitig verweist sie auf Mozillas Regeln fĂĽr die Aufnahme von Root-Zertifikaten in ihre Produkte, die die Organisation zurzeit ĂĽberarbeitet. AuĂźerdem haben die Mozilla-Entwickler einen Patch bereitgestellt, der die von Trustwave CA ausgestellten Unter-CAs als nicht vertrauenswĂĽrdig markiert.
Damit sind die von einem Heise-Leser initiierten Forderungen nach einem sofortigen Ausschluss von Trustwave aus der Liste der vertrauenswürdigen CAs wohl vom Tisch. Dem Zertifikatsanbieter wurde offenbar zu Gute gehalten, dass er den Vorfall selbst öffentlich gemacht und das Zertifikat der Schnüffel-CA bereits widerrufen hatte. Mozilla macht trotzdem unmissverständlich klar, dass man zukünftig keine solchen MITM-CAs mehr tolerieren wird. Man darf auf die nun folgenden Reaktionen gespannt sein. Trustwave hatte bei seinem Schritt an die Öffentlichkeit die eigene Vorgehensweise als gängige Praxis der Branche dargestellt. Und Symantec als Eigentümer der Verisign CA hat auf eine Anfrage von heise Security, ob man CA-Zertifikate zu Überwachungszwecken ausstelle, bis heute nicht geantwortet. (ck)