Hacker-Angriff
25.03.2011, 10:58 Uhr
falsche SSL-Zertifikate für Google & Co.
Ein Hacker ist in eine Zertifizierungstelle eingedrungen und hat sich SSL-Zertifikate für populäre Webseiten ausstellen lassen. Die Spur führt in den Iran. Browser-Hersteller haben Updates mit Sperrlisten veröffentlicht.
Die Nutzung von HTTPS-Verbindungen wird regelmässig mit höherer Sicherheit assoziiert. Doch dies basiert auf einer Vertrauenskette, in der das schwächste Glied auch mal brechen kann. Dies ist bereits vor mehr als einer Woche bei der Zertifizierungsstelle Comodo in Form eines Hacker-Einbruchs passiert, wie erst jetzt bekannt wird. Um die missbräuchlich erstellten SSL-Zertifikate sicher zu erkennen, haben Google, Mozilla und Microsoft Browser-Updates veröffentlicht. Wie Comodo - immerhin mit erfreulicher Offenheit, leider jedoch erst vorgestern - mitgeteilt hat , ist am 15. März ein Hacker bei einem Comodo-Vertriebspartner eingedrungen, hat sich ein Benutzerkonto angelegt und insgesamt neun SSL-Zertifikate für einige populäre Websites ausstellen lassen. Betroffen sind laut Comodo www.google.com, mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org (Mozillas Website für Browser-Erweiterungen) und login.live.com (Microsoft). Comodo zeigt mit dem Finger auf den Iran als beltter. Unter gewissen Voraussetzungen könnte ein Missbrauch solcher SSL-Zertifikate zum Beispiel erfolgen, um Anmeldedaten und Mails abzugreifen oder Anwendern manipulierte Browser-Erweiterungen unterzuschieben. Eine staatliche Einrichtung, die auch die Internet-Infrastruktur eines Landes unter Kontrolle hat, könnte damit ihre Bürger bzw. mutmassliche Dissidenten bespitzeln. Auf der nächsten Seite gehts weiter. Google hat zwischen dem 11. und 17. März drei Updates für seinen Web-Browser Chrome verteilt. Das letzte Update enthält eine Sperrliste für die von Comodo als ungültig deklarierten SSL-Zertifikate. Mozilla hat zum gleichen Zweck Firefox 3.6.16 und 3.5.18 sowie Seamonkey 2.0.13 bereit gestellt. In Firefox 4.0 sind die Sperrlisten bereits enthalten. Microsoft hat die Sicherheitsmeldung 2524375 veröffentlicht und ein Update bereit gestellt. Es installiert die Sperrliste in den Zertifikatsspeicher von Windows, auf den auch der Internet Explorer zugreift. Von Apple (Safari) und Opera ist eine derartige Massnahme noch nicht bekannt. Ein solcher Schritt sollte an sich auch nicht notwendig sein, denn es gibt etablierte Verfahren zur Gültigkeitsprüfung von SSL-Zertifikaten. Jedes Zertifikat enthält einen Link zur einer CRL (Certifcation Revocation List), in der ein Browser (ohne Benutzeraktion) nachschauen kann, ob das Zertifikat zurückgezogen worden ist. Ausserdem enthalten viele Zertifikate, auch die von Comodo, einen Link für OCSP (Online Certificate Status Protocol), das dem gleichen Zweck dient. Doch beide Verfahren hängen von der Erreichbarkeit der Server ab, die diese Sperrlisten bereit halten. Wenn ein Angreifer den Zugriff auf diese Server verhindert, betrachten gängige Browser das fragliche Zertifikat weiterhin als gültig - jedenfalls in den Standardeinstellungen, die wohl kaum ein Benutzer ändert. So ist es ein richtiger erster Schritt der Browser-Hersteller, mit der Verteilung lokaler Sperrlisten auf diesen Designfehler der Vertrauenskette zu reagieren. Doch wer eine Zertifikatsprüfung verhindern kann, kann auch Browser-Updates blockieren. Das ganze System muss im Licht dieses Vorfalls grundsätzlich auf den Prüfstand. Dieser Artikel stammt von unserer Schwesterpublikation PC-Welt(Autor: Frank Ziemann)