Google erwischt SSL-Schnüffler auf frischer Tat

Der Suchmaschinenkonzern Google hat in Frankreich gefälschte SSL-Zertifikate entdeckt, die auf seine Domains ausgestellt waren und so das Mitlesen verschlüsselter Kommunikation ermöglichten.
Verschlüsselung, Code, Kryptographie
Christian Ditaputratama (CC BY-SA 2.0)
Die fraglichen Zertifikate stammten aus der IT-Abteilung des französischen Finanzministeriums. Sie waren mit anderen Zertifikaten signiert, die wiederum von der französischen Behörde für IT-Sicherheit ANSSI als vertrauenswürdig bewertet worden waren. Als Google die Sache bei der ANSSI meldete, sorgte diese nun für eine Sperrung des Zertifikat-Zweiges und erklärte entschuldigend, dass hier ein Partner gegen die eigenen Richtlinien verstoßen habe.

Grundsätzlich zeigt sich hier in einem weiteren Fall das grundlegende Problem der Vertrauens-Struktur im Zertifikate-Wesen. Wem von einer Root-Stelle Vertrauen entgegengebracht wird, kann relativ einfach einen umfassenden Missbrauch betreiben, indem er seine Sicherheiten weitervererbt.

Im aktuellen Fall ermöglichte dies der IT-Abteilung des Finanzministeriums wohl den Anwendern eigene Schlüssel als originale Google-Zertifikate unterzujubeln. Dadurch können die Verantwortlichen sich in einem beliebigen SSL-verschlüsselten Datenstrom einklinken und die Inhalte problemlos mitlesen. Solche Vorfälle geschahen nicht zum ersten Mal. In der Vergangenheit mussten bereits einige Zertifikat-Herausgeber komplett schließen, weil ihnen nach solchen Vorfällen kein Vertrauen mehr entgegengebracht wurde.

Bisher kamen solche Probleme meist nur durch zufällige Entdeckungen ans Licht. Im aktuellen Fall kam allerdings eine Sicherheits-Maßnahme namens CA-Pinning zum Tragen, die Google bereits in seinen Chrome-Browser implementiert hat. Dieser verfügt über die Informationen, von wem ein originales Google-Zertifikat unterschrieben sein muss. Da die entsprechende Signatur hier fehlte, meldete die Software das Problem an seinen Hersteller, der dann entsprechend aktiv werden konnte.

Dies hilft in Einzelfällen durchaus, gefälschte Zertifikate zu entdecken - auch wenn diese von einer scheinbar vertrauenswürdigen Quelle abgesegnet wurden. Das Verfahren kommt aber vergleichsweise selten zum Einsatz. Grundsätzlich muss aber davon ausgegangen werden, dass vor allem auch die Geheimdienste in ihren Überwachungsprogrammen in größerem Umfang Zertifikate falsch signieren und SSL kein ausreichender Schutzmechanismus für die Kommunikation über das Internet darstellt.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!