Google reagiert jetzt mit dem Holzhammer auf Zertifikat-Missbrauch

Den Sicherheits-Experten beim Suchmaschinenkonzern Google reicht es offensichtlich. Auf den jüngsten Zwischenfall, bei dem ein Zertifikat für Google-Domains durch Unbefugte eingesetzt wurde, reagiert das Unternehmen jetzt mit dem Holzhammer und will ... mehr... Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Harter Schritt, aber auch der einzig richtige. Es ist der Auftrag einer Stammzertifizierungsstelle, ausgegebene Zertifikate nicht wahllos unter die Leute zu werfen - tun sie es doch, kann man ihnen auch nicht vertrauen. Ist eigentlich relativ einfach.

Nicht daß die Jungs dort sich groß ärgern werden. Gibt es eben ein neues Stammzertifizierungstellenzertifikat.
 
@RalphS: Nein, da bin ich anderer Meinung. Es ist sicherlich berechtigt Zertifikate zu sperren, die misbraucht werden und auch alle Zertifikate von Stellen, die solche Zertifikate erstellen. Aber ein Root-Zertifikat zu sperren ist übertrieben und öffnet Zertifikatmiusbrauch Tor und Tür. Eine Zertifizierungsinstanz kann nur die von ihr ausgegebenen Zertifikate überwachen, aber unmöglich die ganzen Zertifikatsketten. Das ist technisch und logistisch völlig unmöglich. Übertragen wir das auf Deutschland: Das hier übliche Root-Zertifikat kommt von der Telekom. Diese zertifiziert zum Beispiel das Deutsche Forschungsnetz. Das DFN wiederum zertifiziert alle deutschen Unis. Diese wiederum zertifizieren einzelne Fakultäten (z.B. Informatik) und die wiederum einzelne Server oder Benutzer. Falls nun eine Fakultät in einer einzelnen deutschen Hochschule böse Zertifikate ausstellt, z.B. weil sie gekapert wurde, dann direkt das Wurzelzertifikat der Telekom zu sperren ist, ist unangemessen. Damit würden alle Server in allen deutschen Unis unbrauchbar und ebenso viele deutsche Unternehmen. Das wäre wie eine Atombombe gegen einen einzelnen Bankräuber. Als Angreifer würde ich dann nur versuchen eine kleine Zertifizierungsstelle zu kapern, um damit dann fast ganz Deutschland lahmzulegen.
 
@Nunk-Junge: Unmöglich, sagst Du? Es ist ihr JOB. Dafür sind sie DA. Klar sind sie nicht dazu verpflichtet, überall hinterherzurennen - aber wenn es solche Probleme wie hier gibt, dann müssen sie schauen, daß die ihnen unterstellte(n) Zwischenzertifizierungsstellen sich benehmen.

Das Ding heißt nicht ohne Grund *Vertrauen*skette. Wenn die CNNIC die fragliche kompromittierte Zwischenzertifizierungsstelle SELBER abgesägt hätte - wozu sie nicht nur *befugt*, sondern auch *verpflichtet* gewesen wäre - dann hätte das alles ganz anders ausgesehen.

So müssen sie es jetzt ausbaden. Das ist der ganze Sinn dahinter. Sonst würde SSL mangels Basis erst gar nicht funktionieren.
 
@RalphS: NEIN, es ist NICHT ihr Job. Es sind Zertifikatketten, d.h. eine Zertifikatsstelle zertifiziert die nächste A -> B -> C -> D. Wenn D Mist baut, dann ist nicht A dafür da, das zu kontrollieren, sondern C. Die Telekom kann ja nicht jede Stelle in der Kette überprüfen, denn sie kennt nicht einmal alle Stellen in Deutschland, die auf die Telekom aufbauen.
 
@Nunk-Junge: Ja, soweit sind wir uns einig. Eine Zertifizierungsstelle nach der der anderen, bis hin zur Wurzel. Aber das Vertrauen wird trotzdem über alle Knoten der Vertrauenskette bestätigt - sicherlich indirekt, ja, aber die Stammzertifizierungsstelle steht immer noch dafür ein, daß ein Webserver vertrauenswürdig ist - denn sie überträgt ja demjenigen das Vertrauen, zu entscheiden, ob dieser fragliche Webserver jetzt vertrauenswürdig sein soll oder nicht (oder, entsprechend, der nächsten Zwischenzertifizierungsstelle).

Im Gegenzug müssen sie aber eben auch dafür einstehen, wenn Mist gebaut wird - auch das wird die Kette hochgereicht (wie Du ja schon selbst geschrieben hattest) und wenn das so funktioniert, ist auch alles gut. Nur: wenn die Zwischenzertifizierungsstellen *unter Dir* sich nicht um das Problem *ganz unten* kümmern, bist du als Stammzertifizierungsstelle irgendwann doch in der unmittelbaren Pflicht.
 
@RalphS: In der Theorie klingt das plausibel, aber ist nicht umsetzbar. Die Telekom besitzt das Root-Zertifikat in Deutschland. Darauf bauen viele Institutionen auf, die wiederum viele Institutionen zertifizieren, usw. Niemand kann abschätzen wieviele Zertifikate letztendlich auf das Telekom-Zertifikat aufbauen, weil es keine Stelle gibt wo alle erfasst werden. Aber sind garantiert mehrere Millionen. Das kann die Telekom weder kontrollieren, noch verantworten. Zumal es dabei natürlich auch Fehler gibt. Dafür gibt es dann Mechanismen diese zu sperren. Die Telekom kann aber doch gar nicht entscheiden, ob ein Zertifikat noch ok ist, welches eine Fakultät der Uni in Heidelberg ausgestellt hat. Das muss die zugehörige Zertifizierungsstelle machen. Ein Beispiel für ein fehlerhaftes Protokoll sehr weit oben in der Kette kannst Du hier sehen: https://www.pki.dfn.de/index.php?id=globalroot
 
@Nunk-Junge: A > B > C > D... richtig. Aber wenn ich diese und andere News dazu richtig verstanden habe, war die faule Frucht hier schon B und nicht erst X Y oder Z. A (CNNIC) sägt B nicht ab, also wird der Baum ganz gefällt. Außerdem ist es nicht der erste Vorfall dieser Art der aus China kommt. Irgendwann muss man einen faulenden Baum halt nicht nur fällen, sondern komplett mit der Wurzel raus reißen.
 
@Nunk-Junge: OK, dann findest Du's also gut, wenn die Vertrauenskette am Flughafen mal am Check-In unterbrochen und nicht so genau hingeschaut wird, ob nun nicht doch 'ne Stange Dynamit im Koffer ist. Vertrauensketten sind dazu da, KOMPLETT durchgezogen zu werden und nicht dass nur mal so larifarimäßig irgendwo gewürfelt wird, ob wir nun kontrollieren oder nicht. Vollkommen richtig, was Google in diesem Fall macht.
 
@ott598487: sicher ist die Vertrauenkette dazu gedacht Komplett durgezogen zu werden aber wenn jetzt ein zertifikat ausfällt muss man schauen welche maßnahmen angemessen sind um das vertrauen wieder herzustellen.

wenn bei einem Baum ein Blatt Krank ist muss man ja nicht unbedingt einen Flammenwerfer nehmen die kompletten Wald abfackeln und neu anpflanzen.
man sollte eher das Blatt oder eventuel den ganzen ast abschneiden und fertig.
 
@ott598487: Ein Check-In ist kein passendes Beispiel, da du dort keine Vertrauenskette hast. Ansonsten müsstest Du, wenn ein Kontrolleur am Flughafen die Gepäckkontrolle nicht korrekt macht, den gesamten Flugverkehr, Bahnverkehr und Straßenverkehr in Frankfurt einstellen. Das ist absurd.
 
@Nunk-Junge: absurd, aber sicherheitsrelevant. Edit: wieso Straßen- und Bahnverkehr?
 
@ott598487: Das wäre vergleichbar mit dem Wurzelzertifikat.
 
@Nunk-Junge: mmmhhhh - ich überdenk's mal ;-)
 
@ott598487: Im obigen Fall werden ja auch nicht die falschen Zertifikate (vergleichbar mit Passagieren der schlechten Kontrollstelle) blockiert oder die Zertifikate der Firma MCS Holding (vergleichbar mit dem gesamten Flughafen und allen Kontrollstellen dort), sondern das Wurzelzetrifikat (vergleichbar mit allen Firmen und allen Kontrollstellen in Frankfurt).
 
@Nunk-Junge: OK, überzeugt! Auf ein Bier am Flughafen...
 
@ott598487: :-)
 
@Nunk-Junge: Du hast es leider nicht richtig verstanden, was man dir aber nicht übel nehmen kann, da im Artikel nichts oder kaum was darüber steht was schief gelaufen ist.
Alternativ hab ich es nicht richtig verstanden, dann bitte ich um Korrektur.
Deine Uni bekommt ein Zertifikat mit der sie weitere Zertifikate erstellen kann, die beliebig viele Seiten zertifizieren wirklich Seiten der Uni zu sein.
Wenn die Uni jetzt auf einem neuem Server unter neuer Domain weitere Zertifikate ausstellen möchte muss sie erstmal ein neues Zertifikat beantragen um damit weiter gültige Zertifikate erstellen zu können.
Die CNNIC hat der MSC Holding nun ein CA-Zertifikat gegeben, mit dem man Zertifikate erstellen kann um jede Website als alles zu zertifizieren, so eines wie normalerweise Regierungen verwenden und das dürfen die garnicht.
Die haben das auch nicht zum ersten Mal gemacht und dass sie es machen wurde vermutlich auch nicht zum ersten Mal noch verbotenere Zwecke missbraucht, aber dieses Mal ist es aufgeflogen. (Was aber auch nicht wirklich das erste Mal ist.)
Wir reden hier von Glück, dass damit "nur" Google-Websiten gefälscht wurden und keine Banken um phishing zu betreiben, wobei mir eigentlich nichtmal wissen ob dies doch geschehen ist.
Von daher ist es absolut korrekt eine Menge chinesischer Websiten als unsicher zu markieren, weil sie eben genau das sind, weil man dem Aussteller der Zertifikate nicht vertrauen kann.
Unsicher heißt ja in dem Fall nicht, dass man sie nicht ansurfen kann, aber zum Beispiel eine Banking-Website die ihr Zertifikat von CNNIC hat würde ich nicht verwenden wollen und deswegen hat es auch überhaupt nichts mit Atombombe gegen Bankräuber zu tun, wenn mich Google genau davor warnt.
 
In meinen Augen von Google ne krasse Aktion aber irgendwo auch berechtigt. Wäre ein anderes Unternehmen betroffen würde Google vermutlich nicht so reagieren. Es ist in meinen Augen aber auch richtig, da man manchmal - gerade Unternehmen - mit der Pistole auf der Brust drohen muss. Gibts nur eine Ermahnung bewegt sich selten ein fauler Arsch.

Und wenn unerlaubt Zertifikate an Unautorisierte aufgegeben werden dann kompromittiert ist in meinen Augen tatsächlich alle Zertifikate, welche daher kommen. Immerhin können noch weitere dieser unerlaubten Zertifikate erstellt worden sein.
 
Ach jetzt kommt schon... der Internetnutzer hat sich doch eh daran gewöhnt sämtliche SSL Warnungen weg zu klicken, spätestens seit es Dieters-seine-dolle-Homepage.de und Gabys-Private-Katzenseite.de nur noch als HTTPS mit irgendeinem Hinterhof-Zertifikat gibt.
 
@Lastwebpage: Leider richtig. Das ist es auch, was SSL effektiv wertlos macht, genauso wie jeder Vorstoß in Richtung "Gratis SSL für alle".
 
Die Verbreitung von Firefox und IE wird dann sprunghaft steigen ....
 
@Spacerat: "Bei Microsoft und Mozilla wurden die MCS-Zertifikate bereits gesperrt - und zumindest bei Mozilla läuft auch die Diskussion darüber, das CNNIC-Root ebenfalls auszuschließen. " - vielleicht auch nicht
Kommentar abgeben Netiquette beachten!