Falsches Google-Zertifikat ist Folge eines Hacks

Nachdem iranische Google-Mail-Nutzer mit einem illegal ausgestellten SSL-Zertifikat überwacht wurden, meldet sich nun der Herausgeber der Zertifikats zu Wort. Demnach wurden bereits im Juli mehrere Zertifikate bei einem Einbruch erstellt.

In Pocket speichern vorlesen Druckansicht 134 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Nachdem am Wochenende ein widerrechtlich ausgestelltes Zertifikat aktiv für die Überwachung iranischer Gmail-Nutzer genutzt wurde, meldet sich jetzt der Aussteller des Zertifikats zu Wort: Demnach hat der Herausgeber DigiNotar bereits am 19. Juli dieses Jahres einen Einbruch in seine Systeme festgestellt, bei dem die Angreifer mehrere Zertifikate generieren konnten. Auch das nun eingesetzte Zertifikat für *.google.com befand sich darunter.

DigiNotar hat daraufhin das Ausmaß des Einbruchs untersucht und alle widerrechtlich ausgestellten Zertifikate zurückgerufen. Wie sich nun herausstelle, wurden dabei jedoch Zertifikate übersehen, wie auch die DigiNotar zugeben muss: "Wir haben festgestellt, dass mindestens ein falsches Zertifikat nicht zurückgezogen wurde. Nachdem uns die niederländische Regierungsorganisation Govcert darauf aufmerksam gemacht hat, haben wir das unverzüglich nachgeholt.".

Die Angreifer hatten es gezielt auf die für die Ausstellung von SSL- und Extended-Validation-SSL-Zertifikaten (EVSSL) zuständige Infrastruktur abgesehen. DigiNotar will keine Zertifikate mehr ausstellen, ehe nicht weitere Sicherheitsprüfungen von externen Dienstleistern durchgeführt wurden. Warum das allerdings erst jetzt passiert, lässt das Unternehmen offen – schließlich hat der Einbruch bereits Mitte Juli stattgefunden. Eine Lösung soll bis zum Ende der Woche bereitstehen.

Der Mutterkonzern VASCO versucht seine Aktionäre mit warmen Worten zu beruhigen: "Im ersten Halbjahr lagen die Einnahmen aus dem SSL- und EVSSL-Geschäft bei unter 100.000 Euro. VASCO erwartet nicht, dass der Zwischenfall bei DigiNotar signifikanten Auswirkungen auf künftige Einnahmen oder Business-Pläne haben wird." Den im Iran lebenden Nutzern von Google Mail, die möglicherweise über einen Zeitraum von mehreren Wochen durch die iranische Regierung überwacht wurden, wird dies nur wenig trösten. Sie haben sich durch die vermeintliche sichere Verbindung zum Google-Server in falscher Sicherheit gewogen.

Man kann derzeit nicht ausschließen, dass DigiNotar weitere bei dem Einbruch ausgestellte Zertifikate bei der Sperrung übersehen hat. Deshalb haben sich die Browserhersteller zu einem radikalen Schritt entschieden: Sie wollen künftig keinen DigiNotar-Zertifikaten mehr vertrauen. Google, Mozilla kündigten bereits Updates an, welche die CA aus der Liste der vertrauenswürdigen Herausgeber entfernen. Microsoft nutzt hierzu die zentral verwalteten Certificate Trust List, wovon Windows-Versionen ab Vista automatisch profitieren. Für Windows XP und Windows Server 2003 wird es gesonderte Sicherheitsupdates geben.

Eine von Mozilla veröffentlichte Anleitung beschreibt, wie man das Root-Zertifikat von Hand aus Firefox löscht. [Update] Entgegen unserer ursprünglichen Darstellung erzielt die Mozilla-Anleitung sehr wohl den gewünschten Effekt. Das Root-Zertifikat wird zwar nicht gelöscht, jedoch wird ihm das Vertrauen entzogen. [/Update] (rei)