Microsoft sperrt gefaktes Google-Zertifikat

Wie bereits berichtet, hat die französische Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) Herausgeber-Zertifikate von Google gefälscht. Die Affäre zieht nun ihre Kreise und zieht Sperrungen des betreffenden Zertifikats bei verschiedenen Unternehmen nach sich. Während Google und Mozilla bereits gestern aktiv wurden, hat Microsoft heute nachgezogen und entfernte das betreffende Herausgeber-Zertifikat aus seiner Zertifikatsliste. Dazu wurde laut Microsoft die Certificate Trust List (CTL) auf allen unterstützten Versionen von Windows entsprechend modifiziert.

Anwender von Windows 8, 8.1, RT und Windows Server 2012 erhalten die modifizierte CTL automatisch und müssen deshalb keine weiteren Schritte unternehmen. Unter Windows Vista, 7 und Windows Server 2008 kann ein Update zur automatischen Aktualisierung der Zertifikatsliste installiert werden. Die offiziell nicht mehr von Microsoft unterstützten Betriebssysteme Windows XP und Server 2003 bleiben bei diesem Sicherheitsupdate außen vor.

Die gefälschten Zertifikate wurden laut Stellungnahme der französischen Regierungsbehörde ANSSI durch einen "menschlichen Fehler" erstellt und sollen laut Google für Ausspäh-Aktionen in privaten Netzwerken verwendet worden sein. Bereits in der Vergangenheit sind ähnliche Fälle mit gefälschten  SSL-Zertifikaten – etwa durch die National Security Agency (NSA) – bekannt geworden.

Gut zu wissen, dass die großen Softwarekonzerne nach Bekanntwerden eines weiteren Sicherheitslecks durch Regierungsbehörden so schnell in Aktion treten.