Google erwischt SSL-Schnüffler auf frischer Tat
Der Suchmaschinenkonzern Google hat in Frankreich gefälschte SSL-Zertifikate entdeckt, die auf seine Domains ausgestellt waren und so das Mitlesen verschlüsselter Kommunikation ermöglichten.
Die fraglichen Zertifikate stammten aus der IT-Abteilung des französischen Finanzministeriums. Sie waren mit anderen Zertifikaten signiert, die wiederum von der französischen Behörde für IT-Sicherheit ANSSI als vertrauenswürdig bewertet worden waren. Als Google die Sache bei der ANSSI meldete, sorgte diese nun für eine Sperrung des Zertifikat-Zweiges und erklärte entschuldigend, dass hier ein Partner gegen die eigenen Richtlinien verstoßen habe.
Grundsätzlich zeigt sich hier in einem weiteren Fall das grundlegende Problem der Vertrauens-Struktur im Zertifikate-Wesen. Wem von einer Root-Stelle Vertrauen entgegengebracht wird, kann relativ einfach einen umfassenden Missbrauch betreiben, indem er seine Sicherheiten weitervererbt.
Im aktuellen Fall ermöglichte dies der IT-Abteilung des Finanzministeriums wohl den Anwendern eigene Schlüssel als originale Google-Zertifikate unterzujubeln. Dadurch können die Verantwortlichen sich in einem beliebigen SSL-verschlüsselten Datenstrom einklinken und die Inhalte problemlos mitlesen. Solche Vorfälle geschahen nicht zum ersten Mal. In der Vergangenheit mussten bereits einige Zertifikat-Herausgeber komplett schließen, weil ihnen nach solchen Vorfällen kein Vertrauen mehr entgegengebracht wurde.
Bisher kamen solche Probleme meist nur durch zufällige Entdeckungen ans Licht. Im aktuellen Fall kam allerdings eine Sicherheits-Maßnahme namens CA-Pinning zum Tragen, die Google bereits in seinen Chrome-Browser implementiert hat. Dieser verfügt über die Informationen, von wem ein originales Google-Zertifikat unterschrieben sein muss. Da die entsprechende Signatur hier fehlte, meldete die Software das Problem an seinen Hersteller, der dann entsprechend aktiv werden konnte.
Dies hilft in Einzelfällen durchaus, gefälschte Zertifikate zu entdecken - auch wenn diese von einer scheinbar vertrauenswürdigen Quelle abgesegnet wurden. Das Verfahren kommt aber vergleichsweise selten zum Einsatz. Grundsätzlich muss aber davon ausgegangen werden, dass vor allem auch die Geheimdienste in ihren Überwachungsprogrammen in größerem Umfang Zertifikate falsch signieren und SSL kein ausreichender Schutzmechanismus für die Kommunikation über das Internet darstellt.
Grundsätzlich zeigt sich hier in einem weiteren Fall das grundlegende Problem der Vertrauens-Struktur im Zertifikate-Wesen. Wem von einer Root-Stelle Vertrauen entgegengebracht wird, kann relativ einfach einen umfassenden Missbrauch betreiben, indem er seine Sicherheiten weitervererbt.
Im aktuellen Fall ermöglichte dies der IT-Abteilung des Finanzministeriums wohl den Anwendern eigene Schlüssel als originale Google-Zertifikate unterzujubeln. Dadurch können die Verantwortlichen sich in einem beliebigen SSL-verschlüsselten Datenstrom einklinken und die Inhalte problemlos mitlesen. Solche Vorfälle geschahen nicht zum ersten Mal. In der Vergangenheit mussten bereits einige Zertifikat-Herausgeber komplett schließen, weil ihnen nach solchen Vorfällen kein Vertrauen mehr entgegengebracht wurde.
Bisher kamen solche Probleme meist nur durch zufällige Entdeckungen ans Licht. Im aktuellen Fall kam allerdings eine Sicherheits-Maßnahme namens CA-Pinning zum Tragen, die Google bereits in seinen Chrome-Browser implementiert hat. Dieser verfügt über die Informationen, von wem ein originales Google-Zertifikat unterschrieben sein muss. Da die entsprechende Signatur hier fehlte, meldete die Software das Problem an seinen Hersteller, der dann entsprechend aktiv werden konnte.
Dies hilft in Einzelfällen durchaus, gefälschte Zertifikate zu entdecken - auch wenn diese von einer scheinbar vertrauenswürdigen Quelle abgesegnet wurden. Das Verfahren kommt aber vergleichsweise selten zum Einsatz. Grundsätzlich muss aber davon ausgegangen werden, dass vor allem auch die Geheimdienste in ihren Überwachungsprogrammen in größerem Umfang Zertifikate falsch signieren und SSL kein ausreichender Schutzmechanismus für die Kommunikation über das Internet darstellt.
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Google Summer of Code (GSoC) :: neue Features & Funktionalitäten
Ler-Khun - vor 30 Minuten -
OpenMediaVault - das intelligente System mit der modularen Architektur
Ler-Khun - vor 32 Minuten -
Wie kann ich die Untertitel einem Video hinzufügen?
MiezMau - Gestern 16:42 Uhr -
DaVinci Resolve 21 Final wurde freigegeben
Ler-Khun - Vorgestern 17:17 Uhr -
Bayerns Digitalministerium bemüht sich um digitale Souveränität
Computer - 05.06. 23:58 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen