Google hat vor unerlaubt erstellten SSL-Zertifikate für mehrere Google-Domains gewarnt. Sie stammen vom ägyptische Unternehmen MCS (Mideast Communication Systems), das als Zwischen-Zertifizierer agiert. Die chinesische Zertifizierungsstelle CNNIC hatte die Firma autorisiert. Alle Browser und Betriebssysteme vertrauen den regelwidrig ausgestellten Zertifikaten, da CNNIC in sämtlichen Root-Speichern enthalten ist. Möglicherweise kamen die Zertifikate auch für andere Domains zum Einsatz.
CNNIC habe mit MCS Holdings vereinbart, dass die betroffenen Zertifikate lediglich für Domains genutzt werden dürfen, die von diesem Unternehmen selbst registriert wurden, teilte die Zertifizierungsstelle auf Nachfrage mit. Allerdings seien sie in einem Man-in-the-Middle-Proxy zum Einsatz gekommen. Diese können Kommunikation gesicherter Verbindungen abfangen. Dafür geben sie sich als das beabsichtigte Ziel aus. Unter anderem nutzen Firmen diese, um das Surfverhalten von Mitarbeitern zu überwachen.
Chrome sowie Firefox ab Version 33 haben Langley zufolge die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.
Bislang sind keine konkreten Missbrauchsfälle durch den aktuellen Vorfall bekannt. Allerdings weist er wieder einmal auf eine Schwäche des SSL-Systems hin, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Es ist nicht das erste Mal, dass ein Fehler im System für SSL-Zertifikate entdeckt wurde. Erst letzte Woche warnte Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.
[mit Material von Bernd Kling, ZDNet.de]
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.