Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung

Windows lädt Stammzertifikate zum Prüfen von Verschlüsselungszertifikaten ohne Anwender-Interaktion aus dem Internet nach. Das weckt Zweifel an der Verlässlichkeit der Verschlüsselung von Windows.

In Pocket speichern vorlesen Druckansicht 258 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Thorsten Leemhuis

In Windows-Versionen mit Gruppenrichtlinieneditor kann man das Auto-Update der CA-Liste einfach abstellen.

Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen, denn über eine weitgehend unbekannte Funktion kann Microsoft dem Betriebssystem jederzeit neue Stammzertifikate unterschieben. Mit solchen Stammzertifikaten lassen sich dann beliebige andere Zertifikate beglaubigen.

Das Nachladen der neuen Root-CA erfolgt unsichtbar im Hintergrund, ohne Zutun des Anwenders. Daher könnten sich Lauscher auf diesem Weg etwa in verschlüsselte Internetverbindungen einklinken, um diese unbemerkt zu belauschen. Das berichtet die c't in einem online verfügbaren Artikel der Ausgabe 17/13, die ab Montag am Kiosk erhältlich ist.

Das Nachladen von Stammzertifikaten erfolgt mit Hilfe des "Automatic Root Certificates Update", das Microsoft vor Jahren eingeführt hat und bei allen Windows-Versionen standardmäßig aktiviert. Da nicht nur der Internet Explorer, sondern auch Chrome und Safari auf die Krypto-Infrastruktur von Windows zurückgreifen, laden auch diese beiden Browser von Microsoft dynamisch CA-Zertifikate nach. Firefox nutzt eine eigene Infrastruktur und ist daher nicht betroffen.

Das automatische Aktualisieren der Stammzertifizierungsstellen lässt sich über eine Gruppenrichtlinie unterbinden. Das führt aber leicht zu Problemen, denn Microsoft liefert etwa bei Windows 8 nur noch einen sehr reduzierten Satz an CA-Zertifikaten mit. Schon der Aufruf der Webseite der Telekom-CA https://www.telesec.de, der Firefox von Haus aus vertraut, führt dann zu einem Fehler in Internet Explorer, Safari und Chrome. (thl)