Android, Chrome und Firefox entziehen Zertifikaten von DarkMatter das Vertrauen

Mozilla und Google betrachten Zertifikate der Intermediate-CA DarkMatter wegen begründeten Spionageverdachts künftig als ungültig.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Mozilla: Firefox wird TLS-Zertifikaten von "DarkMatter" künftig nicht mehr vertrauen

(Bild: shutterstock / sommart sombutwanitkul)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Google hat – wie zuvor bereits Mozilla – angekündigt, dem Unternehmen DarkMatter das Vertrauen zu entziehen. Künftig werden der Webbrowser Chrome sowie das mobile Betriebssystem Android von DarkMatter als Intermediate-CA beglaubigte SSL/TLS-Zertifikate nicht mehr akzeptieren und auf sie fußende HTTPS-Verbindungen als unsicher zurückweisen.

Die von Chrome-Security-Engineer Devon O'Brien via Google Groups angekündigten Änderungen sollen über die üblichen Update-Kanäle für Browser und Betriebssystem erfolgen. Zur diesbezüglichen Zeitplanung gibt es bislang allerdings noch keine Informationen.

An der Vertrauenswürdigkeit der Firma DarkMatter, die sowohl als Cybersecurity-Spezialist als auch – unter dem Namen "Digital Trust" – als Zertifizierungsstelle auftritt, bestehen bereits seit einiger Zeit begründete Zweifel. Sie wurden vor allem durch einen Ende Januar von der Nachrichtenagentur Reuters veröffentlichten Bericht ausgelöst, der Verbindungen zwischen dem in den Vereinigten Arabischen Emiraten ansässigen Unternehmen und dem dortigen Geheimdienst zeichnete: Unter dem Dach von DarkMatter soll ein Agenten-Team sogenannte "Staatsfeinde" – darunter Menschenrechts-Aktivisten und Journalisten – ausspioniert haben.

Statt Googles Misstrauen gegenüber DarkMatter explizit zu begründen, verweist O'Brien bei Google Groups auf einen vom Mozilla-Projekt bereits vergangene Woche unternommenen ganz ähnlichen Schritt für den Firefox-Browser.

Die bei Mozilla für Zertifikatsfragen zuständige Kathleen Wilson hatte am Dienstag vergangener Woche einem Vorschlag ihres Kollegen Wayne Thayer zugestimmt, DarkMatters Zwischenzertifikate auf Mozillas zentrale Widerrufsliste OneCRL zu setzen. Wilson hatte in Ihrem Google-Groups-Beitrag darüber hinaus angekündigt, auch Thayers zweitem Vorschlag zu folgen – nämlich dem, DarkMatters bereits vor zwei Jahren gestellten Antrag auf Aufnahme als Root-CA in den Firefox-eigenen Zertifikatsspeicher abzulehnen.

Wenig überraschend bekräftigte auch O'Brien in seinem Post, dass auch Android und Google Chrome Root-Zertifikate von DarkMatter weiterhin zurückweisen werden.

Thayers Vorstoß und Wilsons Entscheidung waren monatelange, erbitterte Diskussionen der Mozilla-Community vorausgegangen. Viele Mitglieder hatten die Sorge geäußert, dass DarkMatter seine Zwischenzertifikate missbrauchen könnte, um (als sicher deklarierte) Verbindungen zu Spionagezwecken anzuzapfen. Als Root-Zertifizierungsstelle hätte DarkMatter darüber hinaus noch weitere Sub-CAs benennen können, denen es ihrerseits erlaubt gewesen wäre, SSL/TLS-Zertifikate zu beglaubigen.

Thayer wog in seinem Beitrag in der Groups-Diskussion zu DarkMatter den Leitsatz “innocent until proven guilty" gegen die im projekteigenen Manifest festgehaltenen Grundsätze ab. Diese besagten unter anderem, dass die Sicherheit und Privatsphäre jedes Individuums im Internet von grundlegender Bedeutung seien und nicht als optional betrachtet werden dürften. Mozillas wichtigste Verantwortung sei es daher, seine Nutzer zu schützen, begründete Thayer seine Befürwortung des Vertrauensentzugs.

Zumindest bei Mozilla steht die letztinstanzliche Bestätigung der Entscheidungen wohl noch aus: Auf Wilsons Beitrag bei Google Groups folgt in mehreren Teilen eine formelle Beschwerde an das "Board of Directors" der Mozilla Foundation. Diese wird derzeit (so weit sich das aus der Diskussion bei Google Groups ableiten lässt) noch überprüft.

DarkMatter beziehungsweise Digital Trust hat seinerseits auf die Entscheidungen von Mozilla reagiert: Zwei Einträgen in Mozillas Bugtracker, die sich mit DarkMatters Zertifikaten befassen ( "Add DarkMatter's QuoVadis Subordinate CAs to OneCRL" / "Add DarkMatter Root Certificates") hängen je eine von Digital Trust beim Board of Directors eingereichte formelle Beschwerde gegen Wilsons und Thayers Entscheidung an.

Mehr zum Thema:

(ovw)