CA GlobalSign nimmt Arbeit wieder auf
Es seien keine Hinweise auf eine Kompromittierung der CA-Systeme gefunden worden. Derweil diskutieren Spezialisten um die Möglichkeit, dass der DigiNotar-Hacker das Windows-Update knacken kann.
- Daniel Bachfeld
Der Zertifikatsaussteller GlobalSign hat nach einer Woche Pause seine Arbeit wieder aufgenommen. Bei der Untersuchungen der Systeme habe sich herausgestellt, dass der Webserver des Unternehmens kompromittiert wurde. Hinweise für Einbrüche in die CA-Systeme habe es jedoch nicht gegeben. Gleichwohl bedeutet dies nicht, dass es keinen Einbruch gegeben hat.
Derweil diskutieren Sicherheitsspezialisten um die Glaubwürdigkeit der Angaben des DigiNotar-Hackers, er könne sich Zertifikate für Microsofts Windows-Update ausstellen. Microsoft hatte bereits vergangene Woche betont, dass Updates mit einem Wurzelzertifikat einer eigenen, nicht öffentlichen CA beglaubigt seien. Da der Hacker dafür keine Zertifikate ausstellen könne, sei das Unterschieben von manipulierten Updates nicht möglich.
Diese Aussage unterstützt der Sichereitsspezialist Dan Kaminsky. Demnach prüfe Windows Update nicht nur, ob eine Signatur eines Updates zu irgendeinem Wurzelzertifikat passe und damit gültig sei (WinVerifyTrust). Vielmehr prüfe Windows zusätzlich, ob es zu einem von Microsoft herausgegebenem Zertifikat passe (CertVerifyCertificateChainPolicy mit Parameter CERT_CHAIN_POLICY_MICROSOFT_ROOT). Eine ähnliche Funktion enthält auch Googles Browser Chrome, der bei Logins auf Google-Seiten nicht nur die Gültigkeit des SSL-Zertifikats prüft, sondern auch, ob sie von einem zugelassenen Aussteller (Thawte und andere) stammen.
Erst diese Funktion führte überhaupt dazu, dass das falsche Google-Zertifikat und der Hack von DigiNotar aufflogen. Hätte der Angreifer sich nur Zertifikate für Yahoo, Facebook und das Torprojekt ausgestellt, wäre das Problem vermutlich erst viel später aufgefallen. (dab)
