Verwaistes Root-Zertifikat sorgt für Verwirrung

Die Mozilla Foundation will ein vom Anbieter RSA ausgestelltes Wurzelzertifikat (RSA Security 1024 V3) aus dem Zertifikatssspeicher seiner Produkte entfernen. Anhand von Wurzelzertifikaten kann der Browser beispielsweise die Echtheit von SSL-Zertifikaten von Servern verifizieren.

Auslöser der Ankündigung war eine Recherche von Kathleen Wilson, die bei Mozilla dafür verantwortlich ist, welche Wurzelzertifikate in dem etwa im Lieferumfang von Firefox enthaltenen Zertifikatsspeicher gelangen dürfen. Bei ihrer Prüfung stellte sie fest, dass sich für besagtes Zertifikat kein aktueller Besitzer ermitteln ließ – in manchen Fällen werden die wertvollen Wurzelzertifikate auch weiterverkauft. Der aktuelle Besitzer ist aber unter anderem auch wegen weiterer Audits wichtig.

Auf eine erste Anfrage bei RSA und VeriSign erhielt Wilson als Antwort, dass keinem der beiden das Zertifikat gehöre. Daraufhin äußerten einige Mitglieder der News-Gruppe mozilla.dev.security.policy die Befürchtung, dass es ein gefälschtes Zertifikat irgendwie geschafft habe, in die Sammlung der Mozilla Foundation (und der von Apple) aufgenommen zu werden. Das stellte sich jedoch als unbegründet heraus, da RSA zumindest bestätigen konnte, der Aussteller des Zertifikats zu sein.

Da sich aber die Frage nach dem Besitzer weiterhin nicht beantworten ließ, kündigte die Mozilla Foundation kurzerhand an, das Zertifikat löschen zu wollen – auch weil unklar war, wer im Besitz des dazugehörigen privaten Schlüssels ist. Kurz darauf meldete sich RSA aber ein weiteres Mal zu Wort: Man sei doch der aktuelle Besitzer (und auch der Besitzer des privaten Schlüssels). Das bis 2026 gültige Zertifikat werde jedoch nicht mehr benötigt; die Mozilla Foundation könne es löschen. In einer Stellungnahme gegenüber heise Security betonte RSA, dass das bereits 2001 ausgestellte Zertifikat ohnehin nie verwendet wurde und dies auch künftig nicht geplant sei. (dab)