Frankreich-Behörde fälscht Google-Zertifikat

Und wieder macht eine Regierungsbehörde durch unlautere Maßnahmen im Datenverkehr von sich Reden: Laut einem Blog-Beitrag hat Google herausgefunden, dass eine Intermediate Certificate Authority (CA), die auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verweist, gefälschte Zertifikate ausgestellt hat. Die ANSSII ist eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen.

Laut Google können Intermediate Certificate Authorities Zertifikate für gefälschte Websites herausgeben. In einer Stellungnahme hat die ANSSI erklärt, dass es sich um Zertifikate für die  innerbehördliche Verwendung handeln soll, die jedoch nicht mit Vorsatz, sondern durch einen "menschlichen Fehler" erstellt worden seien. Laut Google wurden die gefälschten Zertifikate dazu genutzt, um den verschlüsselten Datenverkehr innerhalb eines privaten Netzwerks zu überwachen.

Bereits in der Vergangenheit hat es Probleme mit gefälschten SSL-Zertifikaten gegeben: So soll der US-Auslandsgeheimdienst National Security Agency (NSA) nicht autorisierte Zertifikate für so genannte Man-in-the-Middle-Angriffe auf Google benutzt haben. Google will den Missbrauch von Zertifikaten durch sein Programm Certificate Transparency eindämmen.

Und wieder macht eine Regierungsbehörde durch Umgehung von Datenschutzmaßnahmen von sich reden – diesmal sind die Franzosen wieder in die Schlagzeilen geraten. Die ANSSII schiebt die Verantwortung auf einen "menschlichen Fehler" – immer eine gute Ausrede.