Google erwischt französische Behörde beim Schnüffeln

Mit einem Herausgeber-Zertifikat stellte eine französische Behörde Zertifikate aus, mit denen sie verschlüsselten Datenverkehr mitlesen konnte. Es war von der französischen Sicherheitsbehörde ANSSI ausgestellt worden. Google entdeckte die Nutzung von gefälschten Google-Zertifikaten wahrscheinlich durch spezielle Anti-Spionage-Techniken in Chrome und sperrte das Herausgeber-Zertifikat. Mittlerweile hat die ANSSI erklärt, dass es sich bei der Schnüffelei um eine Sicherheitsmaßnahme gehandelt habe, bei der mit Wissen der Angestellten verschlüsselter SSL-Datenverkehr automatisiert überwacht wurde.

Google schützt sich beziehungsweise seine Anwender durch so genanntes CA-Pinning. Dabei weiß der Browser Chrome, von welchen Zertifizierungsstellen ein Google-Zertifikat unterschrieben sein muss. Versucht sich eine Gegenstelle als Google auszuweisen und präsentiert dazu ein Zertifikat, das jemand anders unterschrieben hat, weiß der Browser, dass da etwas schief läuft und schlägt Alarm. Details dazu und wie man so etwas auch selber einrichten kann, erklärt der c't-Artikel Einbruchschutz. Als Google bemerkte, dass eine französische Behörde unberechtigterweise Zertifikate für Google-Server ausstellte, sperrten sie das Herausgeber-Zertifikat kurzerhand und alarmierten den verantwortlichen Aussteller, die französische Sicherheitsbehörde ANSSI.

Die hat mittlerweile reagiert und das von ihr unterschriebene Herausgeber-Zertifikat – eine so genannte Intermediate CA – ebenfalls zurückgezogen. Sie erklärte, dass die Nutzung zum Aufbrechen von Ende-zu-Ende-verschlüsselten Verbindungen gegen die eigene Policy verstoße und auf menschliches Fehlverhalten zurückzuführen sei. Es handelte sich demnach um eine Sicherheitsmaßnahme der IT des Finanzministeriums. Man arbeite daran, sicherzustellen, dass so etwas nicht wieder vorkomme.

Dass Systeme zur Gefahrenabwehr – vom Viren-Scanner über Einbruchserkennung bis hin zu Data Leakage Prevention – verschlüsselte Verbindungen öffnen, um deren Inhalt zu inspizieren ist nicht neu. Nahezu jeder Anbieter von Sicherheitsprodukten hat so etwas im Programm. Und dass CAs Intermediate-Zertifikate dafür verkaufen, mit denen sie das in aller Heimlichkeit tun können, auch nicht. Bereits 2012 wurde bekannt, dass etwa Trustwave solche Man-in-the-Middle-Zertifikate verkaufte. Daraufhin hat Mozilla seine Regeln verschärft und klar gemacht, dass man zukünftig gegen Aussteller von Man-in-the-Middle-Zertifikaten vorgehen werde.

Die Allmacht der Herausgeber-Zertifikate bleibt ein ungelöstes Problem der SSL-Verschlüsselung. Wenn eine von über hundert Root-CAs, denen Browser und E-Mail-Programme vertrauen, ein Intermediate-CA-Zertifikat ausstellen, kann diese beliebige Identitäten beglaubigen und als Man-in-the-Middle gesicherte Verbindungen ausspionieren. Man muss wohl unter anderem davon ausgehen, dass etwa die NSA für diese Zwecke eine eigene Intermediate-CA betreibt. Mechanismen wie CA-Pinning, sich gegen solche Betrügereien zu schützen, sind noch nicht weit genug verbreitet, um einen effektiven Schutz zu bieten. (ju)