SSL-Zertifizierer gab quasi Blanko-Zertifikate aus

Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr
Die Pannenserie bei den Vergabestellen von SSL-Zertifikaten, inzwischen scherzhaft auch als CA-Domino bezeichnet, geht weiter. Diesmal erwischte es den türkischen Anbieter Türktrust recht heftig. Dieser hat bereits Mitte des Jahres 2011 zwei SSL-Zertifikate ausgegeben, mit denen sich beliebige weitere Zertifikate beglaubigen ließen. Prompt wurde diese Möglichkeit scheinbar auch missbraucht: So wurde mit ihnen beispielsweise ein SSL-Schlüssel zertifiziert, der angeblich für die Domain google.com autorisiert war.

Die Angelegenheit ist Mitarbeitern von Google zu Weihnachten aufgefallen. Sie entdeckten, dass Chrome-Nutzern ein Zertifikat vorgesetzt wurde, das angeblich von dem Suchmaschinenkonzern stammte. Dort war es aber gar nicht verzeichnet. Bei weiteren Nachforschungen konnte man die Quelle bis zu Türktrust zurückverfolgen.

Eine Prüfung durch die Techniker vor Ort ergab, dass die Panne nicht durch einen Angriff von Außen zustande kam. Statt dessen lag die Ursache wohl in einer falschen Konfiguration des Vergabe-Systems. Nach Angaben von Türktrust fiel aber offenbar nicht einmal dem Käufer der Zertifikate auf, was er dort in die Hände bekommen hat. Denn das Google-Zertifikat soll von einer Firewall automatisiert erzeugt worden sein, als diese versuchte, durchgehenden SSL-Datenverkehr zu analysieren.

Dafür kam eines der beiden Zertifikate zum Einsatz. Das andere soll bisher nicht genutzt worden sein. Türktrust erklärte, beide Zertifikate umgehend unbrauchbar gemacht zu haben. Allerdings kann das Problem für die Firma signifikante Folgen haben.

Denn die Vergabestellen sind einer der sensibelsten Punkte in der Sicherheits-Kette der SSL-Verschlüsselung. Wird einem Anbieter das Vertrauen von einigen wichtigen Stellen im Netz entzogen, muss er damit rechnen, sein Geschäft in dem Bereich aufgeben zu können. Das ist beispielsweise der Fall, wenn Browser-Hersteller seine Root-Zertifikate aus der White-List entfernen. Nutzer erhalten daraufhin stets Warn-Hinweise, wenn ein Zertifikat aus der von diesem abstammenden Kette auftaucht. In den letzten Monaten sind auf diese Weise schon mehrere Ausgabestellen gescheitert. Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr
Diese Nachricht empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden