Safari-Anwender durch kompromittierte Zertifikate gefährdet

Während andere Hersteller bereits mit Updates auf die kompromittierten Comodo-Zertifikate reagiert haben, warten Safari-Anwender immer noch auf Hilfe von Apple. Erschwerend hinzu kommt, dass unter Mac OS X die Zertifikatsprüfung ausgeschaltet ist.

In Pocket speichern vorlesen Druckansicht 162 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Andreas Beier

Nutzer von Apples Webbrowser Safari sind immer noch durch die gefälschten Zertifikate für Windows Live, Yahoo, Skype und Google bedroht. Die schlaffe Update-Politik ist Wasser auf die Mühlen der Apple-Kritiker. Die Konkurrenz hat nämlich schon längst reagiert: Google mit der Chrome-Version 10.0.648.151, die Mozilla Foundation mit Firefox 3.6.16 und auch Microsoft hat Windows und damit dem Internet Explorer ein Update spendiert. In Firefox 4 stehen die gefälschten Zertifikate ebenfalls bereits auf der schwarzen Liste.

Verschlimmert wird die Situation noch dadurch, dass Apple bei Mac OS X die vorhandene Zertifikatsüberprüfung über OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) standardmäßig ausgeschaltet hat. Der Aussteller Comodo hat die gefälschten Zertifikate nämlich längst gesperrt. Die Konkurrenz prüft seit Jahren standardmäßig zumindest den Online-Status. Mac-Anwender hingegen müssen dazu zunächst das Programm "Schlüsselbundverwaltung" starten und dort unter Einstellungen im Reiter "Zertifikate" drei Optionen setzen: die beiden oberen Optionen auf "Bester Versuch", die Priorität auf "OSCP".

Sicherheit kann aber letztlich nur ein Update durch Apple bieten. Die für einen Zertifikatscheck eingesetzten Mechanismen OSCP und CRL sind nämlich alles andere als perfekt. Ein Angreifer, der mit einem gefälschten Zertifikat hantiert, könnte als Man-In-The-Middle auch die Antworten auf Prüfanfragen unterbinden. Die Browser warnen die Anwender dabei offenbar nicht oder zumindest nicht ausreichend. Das kann man aber nur zum Teil den Browser-Herstellern anlasten, haben es doch die Zertifizierungsstellen über Jahre versäumt, die dafür erforderliche, leistungsfähige und ausfallsichere Infrastruktur aufzubauen. Und regelmäßige Fehlalarme über nicht erreichbare OCSP-Server erhöhten die Sicherheit letztlich auch nicht. (adb)