Sicherheit
Sicherheitsrisiko durch gestohlene Zertifikate
von
com!
professional - 31.08.2011
Ein gestohlenes Google-Zertifikat sorgt für Sicherheitsrisiken. Jetzt wollen Mozilla, Google und Microsoft den Zertifikaten des Herausgebers das Vertrauen entziehen. Mozilla und Google haben heute Updates veröffentlicht.
Update (31.08.2011): Mozilla hat mit einem Update auf die gestohlenen Zertifikate reagiert. Ab sofort sind Firefox 6.0.1, Firefox 3.6.21, Thunderbird 3.1.13, Thunderbird 6.0.1 und SeaMonkey 2.3.2 verfügbar. Bei diesen Versionen fehlt DigiNotar als vertrauenswürdiger Herausgeber.
Auch Google hat heute ein Update für den Chrome-Browser veröffentlicht. Die Version 13.0.782.218 steht für Windows, Mac, Linux und Chrome Frame bereit. Nebenbei wurde in dieser Version noch der Adobe Flash Player auf die Version 10.3.183.7 aktualisiert.
DigiNotar hat laut Microsofts Security Advisory 2607712 ein gefälschtes Zertifikat in Umlauf gebracht. Betroffen sind alle Subdomains von google.com. Erst nachdem ein widerrechtlich ausgestelltes Zertifikat zur Überwachung iranischer Nutzer des Google-Mail-Dienstes entdeckt wurde, äußerte sich Unternehmen dazu.
Der Zertifikats-Herausgeber DigiNotar hatte bereits am 19. Juli dieses Jahres einen Einbruch in sein System festgestellt. Dabei konnten die Angreifer mehrere Zertifikate generieren. *.google.com ist eines davon. DigiNotar hat sofort reagiert und diese Zertifikate zurückgerufen, dabei aber offenbar wenigstens eins oder sogar mehrere übersehen. Darum wollen die Browserhersteller DigiNotar-Zertifikaten nicht mehr automatisch vertrauen. Einem Hinweis der niederländischen Regierungsorganisation Govcert ist zu verdanken, dass das falsche Zertifikat entdeckt und inzwischen zurückgezogen wurde. DigiNotar will keine Zertifikate ausstellen, bis eine externe Sicherheitsprüfung durchgeführt worden ist. Warum das allerdings erst jetzt passiert und nicht schon bei Entdeckung, bleibt offen.
Google und Mozilla wollen Updates herausgeben, die die CA aus der Liste vertrauenswürdigen Herausgeber löschen. Microsoft macht das durch die zentral verwaltete Certificate Trust List. Windows-Versionen ab Vista profitieren davon automatisch. Windows XP und Windows Server 2003 erhalten Sicherheitsupdates.
In einer Anleitung beschreibt Mozilla die manuelle Löschung eines Root-Zertifikats in Firefox. Damit wird dem Root-Zertifikat das Vertrauen entzogen.
