Gefälschte SSL-Zertifikate für Google, Yahoo und Microsoft

Die Nutzung von HTTPS-Verbindungen wird regelmäßig mit höherer Sicherheit assoziiert. Doch dies basiert auf einer Vertrauenskette, in der das schwächste Glied auch mal brechen kann. Dies ist bereits vor mehr als einer Woche bei der Zertifizierungsstelle Comodo in Form eines Hacker-Einbruchs passiert, wie erst jetzt bekannt wird. Um die missbräuchlich erstellten SSL-Zertifikate sicher zu erkennen, haben Google, Mozilla und Microsoft Browser-Updates bereit gestellt.

Wie Comodo - immerhin mit erfreulicher Offenheit, leider jedoch erst gestern - mitgeteilt hat , ist am 15. März ein Hacker bei einem Comodo-Vertriebspartner eingedrungen, hat sich ein Benutzerkonto angelegt und insgesamt neun SSL-Zertifikate für einige populäre Websites ausstellen lassen. Betroffen sind laut Comodo www.google.com, mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org (Mozillas Website für Browser-Erweiterungen) und login.live.com (Microsoft). Comodo zeigt mit dem Finger auf den Iran als Übeltäter.

Unter gewissen Voraussetzungen könnte ein Missbrauch solcher SSL-Zertifikate zum Beispiel erfolgen, um Anmeldedaten und Mails abzugreifen oder Anwendern manipulierte Browser-Erweiterungen unterzuschieben. Eine staatliche Einrichtung, die auch die Internet-Infrastruktur eines Landes unter Kontrolle hat, könnte damit ihre Bürger, namentlich mutmaßliche Dissidenten bespitzeln.

Google hat zwischen dem 11. und 17. März drei Updates für seinen Web-Browser Chrome verteilt, das letzte enthält eine Sperrliste für die von Comodo als ungültig deklarierten SSL-Zertifikate. Mozilla hat zum gleichen Zweck Firefox 3.6.16 und 3.5.18 sowie Seamonkey 2.0.13 bereit gestellt. In Firefox 4.0 sind die Sperrlisten bereits enthalten. Microsoft hat die Sicherheitsmeldung 2524375 veröffentlicht und ein Update bereit gestellt. Es installiert die Sperrliste in den Zertifikatsspeicher von Windows, auf den auch der Internet Explorer zugreift. Von Apple (Safari) und Opera ist eine derartige Maßnahme noch nicht bekannt.

Ein solcher Schritt sollte an sich auch nicht notwendig sein, denn es gibt etablierte Verfahren zur Gültigkeitsprüfung von SSL-Zertifikaten. Jedes Zertifikat enthält einen Link zur einer CRL (Certifcation Revocation List), in der ein Browser (ohne Benutzeraktion) nachschauen kann, ob das Zertifikat zurück gezogen worden ist. Außerdem enthalten viele Zertifikate, auch die von Comodo, einen Link für OCSP (Online Certificate Status Protocol), das dem gleichen Zweck dient.

Doch beide Verfahren hängen von der Erreichbarkeit der Server ab, die diese Sperrlisten bereit halten. Wenn ein Angreifer den Zugriff auf diese Server verhindert, betrachten gängige Browser das fragliche Zertifikat weiterhin als gültig - jedenfalls in den Standardeinstellungen, die wohl kaum ein Benutzer ändert. So ist es ein richtiger erster Schritt der Browser-Hersteller, mit der Verteilung lokaler Sperrlisten auf diesen Designfehler der Vertrauenskette zu reagieren. Doch wer eine Zertifikatsprüfung verhindern kann, kann auch Browser-Updates blockieren. Das ganze System muss im Licht dieses Vorfalls grundsätzlich auf den Prüfstand. (PC-Welt/hal)