Categories: Sicherheitsmanagement

Google stellt Liste nicht vertrauenswürdiger Zertifikatsanbieter bereit

Bei der neuen Liste von derzeit nicht vertrauenswürdigen Zertifikatsanbietern, die Google im Rahmen von Certificate Transparency CT bereitstellt, kann es sich um Certificate Authorities oder kurz CAs handeln, die aufgrund vergangener Vorfälle das in sie gesetzte Vertrauen verloren haben – oder um neue Anbieter, die erst auf dem Weg sind, von Browsern als vertrauenswürdige Root-Aussteller gesehen zu werden.

Diese Anbietergruppen in einem Verzeichnis vertrauenswürdiger Aussteller mit aufzunehmen, wäre problematisch gewesen, so Softwareentwickler Martin Smith in einem Blogeintrag. Als Gründe dafür nennt er etwa Ungewissheiten hinsichtlich von Ungültigkeitserklärungen oder mögliche Cross-Signing-Angriffe durch böswillige Dritte. Zweifellos nützlich aber sei, die Aktivitäten dieser Zertifikatsanbieter im Blickfeld zu behalten. Der Browser Chrome wird demnach den dort aufgeführten Anbietern nicht vertrauen und Zertifikate erkennbar machen, die Google nicht als vertrauenswürdig einstuft.

Damit reagiert Google offenbar auf verschiedene Vorfälle im letzten Jahr. So hatte das China Internet Network Information Center (CNNIC) als zentrale Ausgabestelle für Root-Zertifikate Chinas indirekt die missbräuchliche Ausgabe von SSL-Zertifikaten für mehrere Google-Domains ermöglicht. Es hatte sie zwar nicht selbst ausgestellt, aber das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer autorisiert. Angreifer hätten sich so als Google-Site ausgeben können.

Letztlich lag der Fehler zwar bei MCS, Google wies dem CNNIC aber die Schuld zu, “einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen” zu haben. Google entschied daraufhin, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren sollten.

Aber auch Symantec, das die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen musste, hat Vertrauen verspielt. Die Sicherheitsfirma entließ zwar dafür verantwortliche Mitarbeiter und betonte, die Zertifikate seien nur für interne Testzwecke genutzt worden. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Aufgrund dieses Risikos entzog Google in Chrome und Android zwei von Symantec genutzten Verisign-Root-Zertifikaten das Vertrauen.

Schon 2013 sorgten von einer französischen Regierungsbehörde gefälschte Zertifikate von Google-Domains für Verärgerung. Sie wurden von einer Intermediate Certificate Authority ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verwies – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen. Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen.

Googles neue Liste ist über ct.googleapis.com/submariner zugänglich und auf der Known-Logs-Seite aufgeführt. Sie ist über dieselbe API wie die bestehenden Listen ansprechbar. Vorschläge für die Aufnahme weiterer Zertifikatsanbieter sind willkommen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

6 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

7 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

24 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago