Google erwischt SSL-Schnüffler auf frischer Tat

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Der Suchmaschinenkonzern Google hat in Frankreich gefälschte SSL-Zertifikate entdeckt, die auf seine Domains ausgestellt waren und so das Mitlesen verschlüsselter Kommunikation ermöglichten.
Die fraglichen Zertifikate stammten aus der IT-Abteilung des französischen Finanzministeriums. Sie waren mit anderen Zertifikaten signiert, die wiederum von der französischen Behörde für IT-Sicherheit ANSSI als vertrauenswürdig bewertet worden waren. Als Google die Sache bei der ANSSI meldete, sorgte diese nun für eine Sperrung des Zertifikat-Zweiges und erklärte entschuldigend, dass hier ein Partner gegen die eigenen Richtlinien verstoßen habe.

Grundsätzlich zeigt sich hier in einem weiteren Fall das grundlegende Problem der Vertrauens-Struktur im Zertifikate-Wesen. Wem von einer Root-Stelle Vertrauen entgegengebracht wird, kann relativ einfach einen umfassenden Missbrauch betreiben, indem er seine Sicherheiten weitervererbt.

Im aktuellen Fall ermöglichte dies der IT-Abteilung des Finanzministeriums wohl den Anwendern eigene Schlüssel als originale Google-Zertifikate unterzujubeln. Dadurch können die Verantwortlichen sich in einem beliebigen SSL-verschlüsselten Datenstrom einklinken und die Inhalte problemlos mitlesen. Solche Vorfälle geschahen nicht zum ersten Mal. In der Vergangenheit mussten bereits einige Zertifikat-Herausgeber komplett schließen, weil ihnen nach solchen Vorfällen kein Vertrauen mehr entgegengebracht wurde.

Bisher kamen solche Probleme meist nur durch zufällige Entdeckungen ans Licht. Im aktuellen Fall kam allerdings eine Sicherheits-Maßnahme namens CA-Pinning zum Tragen, die Google bereits in seinen Chrome-Browser implementiert hat. Dieser verfügt über die Informationen, von wem ein originales Google-Zertifikat unterschrieben sein muss. Da die entsprechende Signatur hier fehlte, meldete die Software das Problem an seinen Hersteller, der dann entsprechend aktiv werden konnte.

Dies hilft in Einzelfällen durchaus, gefälschte Zertifikate zu entdecken - auch wenn diese von einer scheinbar vertrauenswürdigen Quelle abgesegnet wurden. Das Verfahren kommt aber vergleichsweise selten zum Einsatz. Grundsätzlich muss aber davon ausgegangen werden, dass vor allem auch die Geheimdienste in ihren Überwachungsprogrammen in größerem Umfang Zertifikate falsch signieren und SSL kein ausreichender Schutzmechanismus für die Kommunikation über das Internet darstellt. Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain
Diese Nachricht empfehlen
Kommentieren29
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Alfred Hitchcock - Collection [7 DVDs]
Alfred Hitchcock - Collection [7 DVDs]
Original Amazon-Preis
16,39
Im Preisvergleich ab
?
Blitzangebot-Preis
12,00
Ersparnis zu Amazon 27% oder 4,39

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden