Microsoft entzieht Indischer CA das Vertrauen
Als Konsequenz auf die missbräuchlich ausgestellten Google-Zertifikate hat Microsoft die betroffenen SubCAs auf die Sperrliste gesetzt. Darüber hinaus wurde das ganze Ausmaß des Zwischenfalls bekannt: Betroffen sind 45 Domains – auch von Yahoo.
- Ronald Eikenberg
Microsoft hat drei SubCA-Zertifikaten der indischen Regierung das Vertrauen entzogen. Mitte der Woche wurde bekannt, dass damit falsche Zertifikate für Google-Dienste ausgestellt wurden. Die SubCA-Zertifikate gehören dem National Informatics Centre (NIC) und gehen auf das Wurzelzertifikat der staatlichen Zertifizierungsstelle Indiens zurück, der India CCA.
Das Wurzelzertifikat der India CCA befindet sich seit 2011 auf Microsofts Liste der vertrauenswürdigen Herausgeber. Programme wie der Internet Explorer, die Microsofts Krypto-Infrastruktur benutzen, vertrauen dieser CA (certificate authority) automatisch – und damit auch SubCA-Zertifikaten, die von ihr signiert wurden; wie denen des National Informatics Centre (NIC). In anderen CA-Listen, wie etwa der von Mozilla, wird die India CCA nicht geführt.
Betroffen sind die folgenden SubCA-Zertifikate:
| Name | Herausgeber | Fingerprint |
|
NIC Certifying Authority |
CCA India 2007 | ‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| NIC CA 2011 | CCA India 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| NIC CA 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
Automatische Updates
Laut Microsoft wird das Update, das die Zertifikate auf die Blacklist setzt, von den meisten noch unterstĂĽtzen Windows-Versionen automatisch installiert. Einzig fĂĽr Windows Server 2003 steht das Update noch aus. XP bleibt offenbar auĂźen vor, da der Support im FrĂĽhjahr ausgelaufen ist.
Falsche Zertifikate fĂĽr 45 Domains
In dem Microsoft-Advisory findet sich erstmals eine Liste aller Domains, für welche die CA missbräuchlich Zertifikate ausgestellt hat. Sie umfasst 45 Einträge wie google.com, mail.google.com und sogar Googles IMAP-Server. Darüber hinaus wurden aber auch etliche Zertifikate für Yahoo-Dienste ausgestellt.
Spionagewerkzeug
Wem es wie in diesem Fall gelingt, falsche Zertifikate fĂĽr fremde Domains ausstellen zu lassen, kann damit als Man-in-the-Middle unbemerkt SSL-Traffic im Klartext mitlesen und manipulieren. Ob es sich um eine staatliche Ăśberwachungsaktion, einen Hackerangriff oder einen Konfigurationsfehler handelt, ist derzeit noch unklar. (rei)
