Mac OS X schludert bei Zertifikaten

Nach Angaben von Macworld prüft Mac OS X die Zertifikatskette von Extended-Validation-Zertifikaten (EV-SSL) nicht ausreichend, obwohl deren Vorgabekriterien strenger sind als bei normalen SSL-Zertifikaten. Demnach soll der Zertifizierungsstelle nicht nur die Domainadresse und das Webmaster-Mailkonto ausreichen, sondern es muss auch die Geschäftsaderesse der Antragsteller überprüft werden. Das funktioniert jedoch nur, wenn die Zertifizierungsstelle nicht kompromittiert wurde. So geschehen bei DigiNotar und Comodo. Wenn ein Nutzer der Zertifizierungsstelle über die Schlüsselverwaltung das Vertrauen entzogen hat, werden die EV-SSL-Zertifikate trotzdem von Safari akzeptiert, sofern sie mit blockierten Wurzelzertifikaten erstellt wurden. Liefert die angesteuerte Webseite hingegen ein einfaches SSL-Zertifikat der betroffenen Root-CA aus, erscheint die erwartete Warnmeldung.

Noch ist nicht bekannt, wann Apple den Programmfehler behebt. Inzwischen können sich Mac-Anwender durch einen alternativen Browser vor Man-in-the-Middle-Angriffen schützen. Da Chrome und Opera sich auf das Zertifikatsmanagement des Betriebssystems verlassen und das gesperrte Wurzelzertifikat ignorieren, empfiehlt sich nur Firefox. Dort wird beim Besuch der Testseite eine Warnung angezeigt, sofern im dortigen Zertifikationsmanager alle Rechte entzogen wurden. Noch ist nicht bekannt, wann Apple den Programmfehler behebt.

Eine weitere Möglichkeit sich vor Angriffen zu schützen, bietet die Löschung der Wurzelzertifikate aus Mac OS X. Dadurch gibt auch Safari eine Warnung aus. Über Spotlight gehen Sie auf „Schlüsselbundverwaltung“. Dort geben Sie in das Suchfeld den Namen des Zertifikats ein, das Sie löschen wollen. Per Rechtsklick löschen Sie das Wurzelzertifikat. Vor Angriffen mit den DigiNotar-Zertifikaten schützen Sie sich, wenn Sie "DigiNotar Root CA" aus dem System löschen.