SSL-Zertifizierer gab quasi Blanko-Zertifikate aus

Die Pannenserie bei den Vergabestellen von SSL-Zertifikaten, inzwischen scherzhaft auch als CA-Domino bezeichnet, geht weiter. Diesmal erwischte es den türkischen Anbieter Türktrust recht heftig.

Dieser hat bereits Mitte des Jahres 2011 zwei SSL-Zertifikate ausgegeben, mit denen sich beliebige weitere Zertifikate beglaubigen ließen. Prompt wurde diese Möglichkeit scheinbar auch missbraucht: So wurde mit ihnen beispielsweise ein SSL-Schlüssel zertifiziert, der angeblich für die Domain google.com autorisiert war.

Die Angelegenheit ist Mitarbeitern von Google zu Weihnachten aufgefallen. Sie entdeckten, dass Chrome-Nutzern ein Zertifikat vorgesetzt wurde, das angeblich von dem Suchmaschinenkonzern stammte. Dort war es aber gar nicht verzeichnet. Bei weiteren Nachforschungen konnte man die Quelle bis zu Türktrust zurückverfolgen.


Eine Prüfung durch die Techniker vor Ort ergab, dass die Panne nicht durch einen Angriff von Außen zustande kam. Statt dessen lag die Ursache wohl in einer falschen Konfiguration des Vergabe-Systems. Nach Angaben von Türktrust fiel aber offenbar nicht einmal dem Käufer der Zertifikate auf, was er dort in die Hände bekommen hat. Denn das Google-Zertifikat soll von einer Firewall automatisiert erzeugt worden sein, als diese versuchte, durchgehenden SSL-Datenverkehr zu analysieren.

Dafür kam eines der beiden Zertifikate zum Einsatz. Das andere soll bisher nicht genutzt worden sein. Türktrust erklärte, beide Zertifikate umgehend unbrauchbar gemacht zu haben. Allerdings kann das Problem für die Firma signifikante Folgen haben.

Denn die Vergabestellen sind einer der sensibelsten Punkte in der Sicherheits-Kette der SSL-Verschlüsselung. Wird einem Anbieter das Vertrauen von einigen wichtigen Stellen im Netz entzogen, muss er damit rechnen, sein Geschäft in dem Bereich aufgeben zu können. Das ist beispielsweise der Fall, wenn Browser-Hersteller seine Root-Zertifikate aus der White-List entfernen. Nutzer erhalten daraufhin stets Warn-Hinweise, wenn ein Zertifikat aus der von diesem abstammenden Kette auftaucht. In den letzten Monaten sind auf diese Weise schon mehrere Ausgabestellen gescheitert.
Diese Nachricht empfehlen
Videos zum Thema
 
Ein Schlechtes System in noch Schlechteren Händen!
 
@BadMax: Kann ich zustimmen. Wenn die Leute es nicht richtig bedienen können macht es keinen Sinn, sondern weckt nur falschen Schein. Am Ende profitieren dann die Leute, welche ihre Malware verteilen.
 
@BadMax: Ich würde sagen da hat jemand was getürkt :-D
 
@BadMax: Das system an sich ist nicht schlecht - nur manche CAs sind einfach nicht in der Lage, korrekt zu arbeiten.... Ansonsten: Schlag vor, wie es besser gehen könnte ^^
 
@BadMax: "Türktrust" ist das nicht ein Wiederspruch in sich?


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Beliebte Videos

powered by veeseo

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles