Mozilla fordert Sicherheitsprüfung aller CAs
Alle CAs, deren Wurzelzertifikat in Firefox enthalten ist, sollen binnen einer Woche eine Sicherheitsprüfung ihrer Infrastruktur durchführen und das Ergebnis an Mozilla senden.
- Ronald Eikenberg
Nach der Kompromittierung des niederländischen Zertifikatsausstellers DigiNotar hat sich Mozilla in einer mahnenden E-Mail an alle CAs gewandt, deren Wurzelzertifikate in Firefox und Thunderbird enthalten sind. Die für den Zertifkatsmanager verantwortliche Kathleen Wilson fordert die CAs auf, eine Sicherheitsüberprüfung der Public Key Infrastructure (PKI) vorzunehmen und das Ergebnis bis zum 16. September an Mozilla zu senden.
Zudem fordert Wilson, dass Sperrlisten für besonders prominente Domains wie Google.com oder Facebook.com eingerichtet werden. Bevor ein Zertifikat für eine solche Domain ausgestellt wird, sollen die CAs dies manuell überprüfen. Auch das Prüfverfahren, das in einem solchen Fall angewandt wird, sollen die CAs Mozilla gegenüber offenlegen.
Erlaubt die CA einer weiteren Partei das Ausstellen von Zertifikaten, muss die CA das Ausstellen durch eine Whitelist einschränken oder sämtliche Details über den Aussteller und deren Geschäftspraktiken an Mozilla schicken. Zudem sollen alle Benutzeraccounts, die zum Ausstellen von Zertifikaten berechtigt sind, durch eine Mehr-Faktor-Authentifizierung geschützt werden.
Entfernt man das Zertifikat einer kompromittierten CA aus der Liste der vertrauenswürdigen CAs, funktionieren die von ihr ausgestellten Zertifikate durch Cross Signing mit einer anderen CA unter Umständen weiter. Deshalb verlangt Mozilla jetzt einen besseren Überblick über die Verflechtungen zwischen den CAs und will eine Liste über alle Cross-Signing-Partner der Zertifizierungsstellen.
Besteht bei der CA der Verdacht, dass sie ebenfalls Opfer einer Hackerangriffs gewesen sein könnte, soll sich der Betreiber sofort mit Mozilla in Verbindung setzen müssen. Wie viele der kleineren CAs das jedoch tatsächlich beherzigen werden, ist fragwürdig: Denn sobald die Browserhersteller das Wurzelzertifikat aus dem Lieferumfang entfernen, ist die Geschäftsgrundlage der CA zerstört.
Unterdessen gibt das österreichische CERT in einem Zwischenbericht IT-Verantwortlichen Tipps an die Hand, wie sie sich vor den Folgen des DigiNotar-Hacks schützen. Das CERT rät, noch im Einsatz befindliche DigiNotar-Zertifikate gegen Zertifikate einer anderer CAs auszutauschen sowie Wurzelzertifikate und Widerrufslisten auf den neuesten Stand zu bringen. Zudem sollen sich die Unternehmen einen Notfallplan für den Fall zurecht legen, in dem die CA, die für das Unternehmen Zertifikate ausstellt, kompromittiert wird. (rei)
