Falsches Zertifikat: Google stand fünf Wochen offen

Unbekannten ist es gelungen, an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Dadurch waren sie in der Lage, mit Man-in-the-middle-Angriffen Zugang zu Nutzerkonten zu erlangen. mehr... Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Deswegen immer schön mit Realnamen bei Google anmelden;)
 
@mcbit: Hahahahaha! Ja, meine ist auch eine spaßige Abwandlung meines realen Namens :D
 
@Lay-Z187: Nicht mal das ;)
 
@mcbit: Yup, denn wie heißt es so schön: "Ich hab ja nichts zu verbergen."
 
@JF7194: Der Spruch ist die Standardausrede derer, die es nicht schaffen, übern Tellerrand zu blicken.;)
 
Naja, Zeit für Google sich wieder mal zu entschuldigen....Demnächst arbeitet Google mit Vorlagen für Entschuldigungen ..:-)
 
@Snakeblissgen: nene, man entschuldigt sich nicht, sondern man bittet andere um Entschuldigung. Genauso wie man sich nicht verabschiedet sondern man von anderen verabschiedet wird...
 
@Rikibu: ´Stimmt, aber das Ganze ist doch wirklich nur noch lächerlich mit Google, oder?
 
@Snakeblissgen: naja, mich tangiert es weniger weil ich google eigentlich kaum nutze... wenn das mit google schon lächerlich ist, was ist das mit rewe und co?
 
@Snakeblissgen: Den Artikel hast Du aber schon gelesen bzw. auch verstanden oder?
 
.....hab Euch Allen eine Freude gemacht, freut mich...
 
@Snakeblissgen: Wäre nur die Frage, wofür sich Google entschuldigen sollte. Bei denen ist kein Fehler passiert.
 
@ckahle: Dafür dass sie sich Zertifikate bei ner holländischen Pommesbude geholt haben und nicht bei den großen Zertifizierungsstellen wie z.B. Globalsign oder Verisign.
 
@DennisMoore: Das Zertifikat hat sich aber nicht Google bei denen geholt, sondern Unbekannte, die sich damit nur als Google ausgaben.
 
@ckahle: Dann vielleicht dafür, dass Google nicht sorgfältiger geprüft hat ob die Zertifikatskette vollständig ok ist. Denn in neuen Browserversionen wirds ja anscheinend erkannt.
 
@DennisMoore: Das wird im mom nur vom Chrome erkannt, weil der auch überprüft woher das Zertifikat stammt. Nicht umsonst hat MS ja auch alle Zertifikate von DigiNotar gesperrt ... und das waren sicherlich nicht wenige. Google hat damit genausoviel zu tun, wie ein Gemüseproduzent mit einem Händler, der seine Orangen als Tomaten verkauft - nur dass man es da schneller erkennen kann ...
 
@JoePhi: Der Gemüserproduzent würde sich auch dafür entschuldigen wenn seine Händler falsche Waren verkaufen. Wenn man Zertifikate ernst nehmen soll, dann muss IMHO jedes System ein Zertifikat genau prüfen und nicht nur so halb. Egal ob es ein Browser ist oder sonstwas. Sonst kann man es auch gleich lassen.
 
@DennisMoore: Dir ist aber schon bewusst welchen Unfug Du da von Dir gibst oder?
 
@DennisMoore: Dank Google ist dieses Problem aufgeflogen...also wo bitte ist dein Problem...??? Und nur DESHALB wird Google auch damit in Verbindung gebracht...warum sollte sich Google für einen Fehler der Zertifizierungsstelle entschuldigen...???
 
@DennisMoore: Wieso soll der Gemüseproduzent sich dafür entschuldigen wenn irgendein Händler falsche Ware verkauft? :-D In welcher Welt lebst du denn? Google kann hier absolut nichts dafür, beschwer dich lieber bei dem der das Zertifikat ausgibt. Nach deiner Logik müsstest du dich entschuldigen wenn die Führerscheinbehörde deinem 15 jährigen Sohn einen Führerschein mit deinem Namen ausstellt. @Topic Man sollte als Nutzer auf jeden Fall ganz bewusst auf die Adressleiste schauen wenn man sensible Daten eingibt.
 
@BuzzT.Ion: "Google stand fünf Wochen offen" ... Danke Google, dass es durch dich rausgekommen ist *rolleyes*
 
@desire: Hab ich falsch rum gesagt. Der Händler würde sich dafür entschuldigen wenn er falsche Ware verkauft, weil der Hersteller in die Erbsenverpackung einfach Bohnen reingefüllt hat.
 
@DennisMoore: WTF? Was ist daran so schwer zu begreifen? Bei DigiNotar wurde eingebrochen und mehrere Zertifikate "entwendet/erstellt". Jetzt können die "Diebe" z.B. DNS Server manipulieren oder von mir aus auch einfach die "hosts"-config des jeweiligen Opfers und wenn das Opfer dann *.google.com eingibt landet es dann anstelle von 74.125.39.99 bei z.B. 124.238.254.* (China weil die Chinesen immer Schuld sind) und dort wartet dann ne Phishing-Seite und dank des gestohlenen Zertifikates und der Tatsache das die Browser (bis auf Chrome und angeblich noch Opera (siehe unten)) nur prüfen ob das Zertifikat von einer vertrauenswürdigen Quelle signiert wurde (in diesem Falle DigiNotar) und nicht woher es stammt, kommt logischerweise keine Warnung. Das Opfer loggt sich ein und klappe zu Affe tot! Google hat keine Schuld und Google muss sich für nichts entschuldigen. Desweiteren sind laut anderen Quellen (heise, golem etc) noch weitere Zertifikate entwendet/erstellt worden und nicht nur für die google subdomains!
 
@Snakeblissgen: Dir ist offenbar nicht klar das google rein gar nichts dafür kann, sondern der Zertifikatevergeber?
 
@Snakeblissgen: Wollte auch gerade sagen. Wer den Artikel liest, sollte sehen, dass das nicht Googles Schuld, sondern die der Zertifizierungs-Firma war.
 
@F4t4l!tY: Der "fraglicheüberschriftenschreiber" und die "Nurüberschriftenleser" haben sich mal wieder getroffen.
 
@Snakeblissgen: Ich bin WIRKLICH kein Fan von Google... Aber was genau kann Google in dem Fall dafür?
 
Jeder macht Fehler, ich finds nur erstaunlich, dass es so lange unerkannt blieb..
 
@sleife: Genau dafür wird Google wieder um Entschuldigung bitten..Die Könige über Dir haben das abba nicht begriffen...
 
@Snakeblissgen: Bist du sicher, dass du mit dem Thema des Artikels etwas anfangen kannst?
 
@ouzo: Jo, Du etwa nicht?
 
@Snakeblissgen: Du raffst scheinbar immernoch nicht, dass Google nicht dafür verantwortlich ist und auch wenige bis gar keine Möglichkeiten hat soetwas zu überprüfen und somit zu beheben.
 
War es nicht Denen Ihr System, was offenstand? Das das Zertifikat durch Andere vergeben worden ist ist die eine Sache. Nur das das System offenstand und Google dies nicht bemerkt, ist die Andere. Google ist sehr sicher, das Denen nix passieren kann, aber Kontrolle wäre besser...oder es stimmt an dem Sicherheitskonzept was nicht...
 
@Snakeblissgen: Gut, diese Aussage ist die Bestätigung, dass du es nicht verstanden hast.
 
@ouzo: Bin gespannt auf Deine Erklärung...
 
@Snakeblissgen: Es stand das System von DigiNotar offen, einem Holländischen SSL-Zertifikatshändler der nichts mit Google zu tun hat. Von denen wurde ein SSL Zertifikat für *.google.com (ich hab wo anders nur von mail.google.com gelesen) unterschrieben womit es in allen Browsern die DigiNotar als SSL-Zertifikatsstelle akzeptieren (und das tun scheinbar alle großen) als gültiges Zertifikat für google.com anerkannt wird.
 
@besn: Wenn durch Dritte das System freigeschaltet werden kann, dann ist es sehr Blauäugig von Google, den Weg, wodurch die Zugriffe zugelassen werden, anscheinend unkontrolliert zu lassen. oder sehe ich das falsch...
 
@Snakeblissgen: Das ist leider nichts worauf Google wirklich einfluss hat (und das ist auch irgentwie gut so). Dieses ganze SSL-Cert Zeug funktioniert wie eine Vertrauenspyramiede. Ganz oben hast du Root oder Stammzertifikate (ist dir vielleicht schon mal beim Windows Updaten aufgefallen das es da manchmal updates von denen gibt). In diesen Root Zertifikaten sind Untercerts für diverse SSL-Cert Verkäufer wie Verisign, der Deutschen Telekom, Godaddy und auch DigiNotar.

Wenn du jetzt sagen wie mal bei Godaddy ein SSL Cert kaufst bekommst du nichts anderes als eine Datei mit Daten von dir (für den das Cert ausgestellt wurde, für welchen Bereich [Domain] das Cert gültig ist) zusammen mit einer Art Unterschrift des Ausstellers. EIGENTLICH sollten solchen Registrare nicht einfach so unkontrolliert Zertifikate ausgeben (und bei den großen wie Verisign und Godaddy kann es das erste mal schon ein paar Tage und ein paar Faxe hin und her benötigen damit du dein Cert bekommst), jedoch wenn es jemand an die Stelle schafft an der die Daten von den Kunden mit dem Vertrauten Schlüssel unterschrieben werden kann er dort natürlich alles mögliche unterschreiben lassen und man nimmt stark an das das bei DigiNotar passiert ist.
 
@besn: Das mit Google sollte auch nur ein Scherz sein....ist immer schön wenn so Schlaumeier wie JoePhi als Oberstudienrat auftreten und nicht vernünftig diskutieren können. das es anders geht, sieht man an Deiner Erklärung. Danke für die Info. Nur wirst Du mir zustimmen, wenn die Zertifikate Fehlerhaft ausgestellt werden können, gibts da keine Kontrolle drüber? Werden diese Certifikate z.B. auch für das Banking verwendet?
Mir ist letztlich egal, wie das System organisiert ist, aber wenn dadurch löcher entstehen, die zu Schäden Dritter führen, taugt das System nicht, bzw muss korrigiert werden.
 
@besn: Wenn eine Domain erst einmal verifiziert ist, bekommt man auch innerhalb weniger Minuten ein Zertifikat zugestellt.. Nachdem ich in im Unternehmen mit meinem Team für die Certs zuständig bin, kann ich davon ein Liedchen singen.. und da ist kein Unterschied bei VeriSign oder Thawte. => Ist jemand an die Zugangsdaten oder Auth Files für den Browser gekommen, ist es ein leichtes, Certs anzufordern und zu erhalten.
 
@Snakeblissgen: Die Systeme von Google standen ZU KEINEM ZEITPUNKT OFFEN!!!!!!!!! Willst du das nicht verstehen?
 
@Snakeblissgen: Du solltest langsam aufhören hierzu etwas zu schreiben, bevor es noch peinlicher für dich wird. Lies Dich lieber erstmal in das Thema SSL-Zertifikate ein und komm dann wieder und lösche still und heimlich Deine ganzen gruseligen posts.
 
@JoePhi: Ist für mich nicht peinlich, denn hier kann Jeder schreiben, wie man es auffast. Ich lösche nix und steh dazu. Gott sei Dank geht es nicht nach Dir. Zudem kannste meine Posts überlesen..
 
@Snakeblissgen: Du hast wirklich keine Ahnung von der Materie, nicht wahr? Es gibt weltweit anerkannte Zertifikateverwalter, die für jede Webseite, die SSL benutzt, Zertifikate vergibt. Wenn da ein Fehler passiert, dann hat das nix mit der Webseite zu tun, für die das Zertifikat vergeben wurde. Und erst Chrome überprüft, ob ein Zertifikat nicht nur stimmig ist, sondern auch von der richtigen Adresse kommt. Was glaubst du warum Microsoft vorsorglich alle Zertifikate von DigiNotar hat sperren lassen? Weil eben auch noch tausende andere Webseiten betroffen sein können. Das hier ist ein Problem des Verwalters und der Struktur bei der SSL-Verwendung ... aber sicherlich kein Problem bei Google. Verstanden? Vermutlich nicht.
 
Erinnert sich noch jemand an den ehrlichen Achmed? http://tinyurl.com/3ry7nsa
 
Selbst wenn der Browser eine Meldung "ungültiges Zertifikat" ausgibt, vertrauen die User der Warnung im Browser oder Google, Amazon, eBay, Sparkasse,... ? Das es jede noch so kleine Popelsseite mittlerweile als HTTPS gibt, teilweise mit selbsterstellten/freien Zertifikaten; die dann entsprechende Warnungen im Browser generiert, wo der User automatisch auf "Abbbrechen" klickt; macht die Sache um keinen Deut besser.
 
@Lastwebpage: Klar aber Dienstleister wie Comodo trauen. http://winfuture.de/news,62231.html
 
Die Iraner haben ja auch die Mittel für sowas! :D
 
:D Ha, und ich dacht schon mein Opera ist defekt... vor ein paar Wochen kam die Zertifikatsmeldung als ich auf Google ging, ich dachte mir passt schon und drückte trotzdem Akzeptieren... Opera FTW :)
 
@DUNnet: na dann finde mal schnell raus wer sich da in deine leitung geklinkt hat ;) das zertifikat bringt denen ja erst was durch nen man-in-the-middle angriff.. also wenn du auf mail.google.com gegangen bist und da kam tatsächlich ne meldung dann hat dir da bestimmt irgendwer was zu erklären.. ;) zumal keine meldung kommen konnte, da opera das zertifikat als echt interpretierte. kam trotzdem eine hat wohl einer in deinem wlan netz gesnifft (cain & abel kann ssl connections durch erstellen selbst signierter zertifikate die bei dir zu ner warnung führen aufmachen zb ;))
 
@Omegavirus: Wenn man die Software nicht kennt, nicht schnacken ;) Da hat niemand Versucht etwas bei mir auszunutzen, das Zertifikat hat einfach ein Ablaufdatum der Erneuerung intigriert, und meine Sicherheitseinstellungen melden mir neue Zertifikate und wenn diese sich ändern, und da es abläuft verlangt mein Browser eine manuelle Freigabe der Verbindung meinerseits. Und ich Monitore mein gesamtes Netzwerk, von daher kann ich sagen dahingehend ist alles klärchen - auch zu dem Zeitpunkt).
 
Holland und Sicherheit - passt irgendwie nicht :-D

nächstes mal vielleicht von einer nicht Niederländischen CA ;)
 
''Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will Hinweise darauf gefunden, dass das falsche SSL-Zertifikat in den Händen iranischer Behörden lag.'' Jaja, wartet mal ab bis Google die ersten Panzer baut. Dann überlegt sich der Iran sowas das nächste mal.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles