Mozilla entschlackt Zertifikats-Überprüfung

Statt 81.865 sind jetzt nur noch 4167 Zeilen Code zum Überprüfen von SSL-Zertifikaten nötig. Wer Sicherheitslücken darin findet, erhält einen üppigen Finderlohn.

In Pocket speichern vorlesen Druckansicht 100 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Mozilla hat eine neue Bibliothek zur Überprüfung von SSL-Zertifikaten entwickelt, die robuster und deutlich schlanker als ihr Vorgänger sein soll. Sie besteht lediglich aus 4167 Zeilen Code in C++, während bisher die zwanzigfache Menge in C nötig war. Damit ist der Code der mozilla::pkix getauften Bibliothek deutlich übersichtlicher und besser zu warten. Aktuell nutzt Mozilla für Firefox und Co. noch die Zertifikatschecks der Network Security Services (NSS). Die neue Bibliothek soll ab Firefox 31-Version on Bord sein, die Ende Juli erscheint.

Damit potenzielle Sicherheitslücken in diesem kritischen Teil der Krypto-Infrastruktur rechtzeitig entdeckt und beseitigt werden, hat Mozilla ein spezielles Bug Bounty Program ins Leben gerufen. Wer bis Ende Juni anhand einer Nightly Build von Firefox 31 sicherheitsrelevante Bugs in pkix entdeckt, erhält einen Finderlohn in Höhe von 10.000 US-Dollar. Qualifiziert sind zum Beispiel Lücken, die dazu führen, dass zum Beispiel ungültige Zertifikatsketten als gültig durchgehen oder auch Speicherfehler, die sich für eine gezielte Manipulation des Speichers eignen.

Mit pkix ändert Mozilla einige Anforderungen an Zertifikate, was dazu führen kann, dass legitime Zertifikate als ungültig eingestuft werden. Zertifikate von CAs, denen die Mozilla-Programme von Haus aus vertrauen, sollen laut Mozilla bereits durchweg die veränderten Anforderungen erfüllen. (rei)