Safari-Anwender durch kompromittierte Zertifikate gefÀhrdet
WĂ€hrend andere Hersteller bereits mit Updates auf die kompromittierten Comodo-Zertifikate reagiert haben, warten Safari-Anwender immer noch auf Hilfe von Apple. Erschwerend hinzu kommt, dass unter Mac OS X die ZertifikatsprĂŒfung ausgeschaltet ist.
Nutzer von Apples Webbrowser Safari sind immer noch durch die gefĂ€lschten Zertifikate [1] fĂŒr Windows Live, Yahoo, Skype und Google bedroht. Die schlaffe Update-Politik ist Wasser auf die MĂŒhlen der Apple-Kritiker. Die Konkurrenz hat nĂ€mlich schon lĂ€ngst reagiert: Google mit der Chrome-Version 10.0.648.151, die Mozilla Foundation mit Firefox 3.6.16 und auch Microsoft hat Windows und damit dem Internet Explorer ein Update spendiert. In Firefox 4 stehen die gefĂ€lschten Zertifikate ebenfalls bereits auf der schwarzen Liste.
Verschlimmert wird die Situation noch dadurch, dass Apple bei Mac OS X die vorhandene ZertifikatsĂŒberprĂŒfung ĂŒber OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) standardmĂ€Ăig ausgeschaltet hat. Der Aussteller Comodo hat die gefĂ€lschten Zertifikate [2] nĂ€mlich lĂ€ngst gesperrt. Die Konkurrenz prĂŒft seit Jahren standardmĂ€Ăig zumindest den Online-Status. Mac-Anwender hingegen mĂŒssen dazu zunĂ€chst das Programm "SchlĂŒsselbundverwaltung" starten und dort unter Einstellungen im Reiter "Zertifikate" drei Optionen setzen: die beiden oberen Optionen auf "Bester Versuch", die PrioritĂ€t auf "OSCP".
Sicherheit kann aber letztlich nur ein Update durch Apple bieten. Die fĂŒr einen Zertifikatscheck eingesetzten Mechanismen OSCP und CRL sind nĂ€mlich alles andere als perfekt [3]. Ein Angreifer, der mit einem gefĂ€lschten Zertifikat hantiert, könnte als Man-In-The-Middle auch die Antworten auf PrĂŒfanfragen unterbinden. Die Browser warnen die Anwender dabei offenbar nicht oder zumindest nicht ausreichend [4]. Das kann man aber nur zum Teil den Browser-Herstellern anlasten, haben es doch die Zertifizierungsstellen ĂŒber Jahre versĂ€umt, die dafĂŒr erforderliche, leistungsfĂ€hige und ausfallsichere Infrastruktur aufzubauen. Und regelmĂ€Ăige Fehlalarme ĂŒber nicht erreichbare OCSP-Server erhöhten die Sicherheit letztlich auch nicht. (adb [5])
URL dieses Artikels:
https://www.heise.de/-1215718
Links in diesem Artikel:
[1] https://www.heise.de/news/SSL-GAU-zwingt-Browser-Hersteller-zu-Updates-1212986.html
[2] https://www.heise.de/news/SSL-GAU-Ein-Angriff-im-Cyberwar-1213999.html
[3] https://www.heise.de/hintergrund/Zertifikatsanfrage-Probiers-spaeter-813019.html
[4] http://www.imperialviolet.org/2011/03/18/revocation.html
[5] mailto:adb@ct.de
Copyright © 2011 Heise Medien