> > > > Noch mehr gefälschte SSL-Zertifikate von DigiNotar

Noch mehr gefälschte SSL-Zertifikate von DigiNotar

Veröffentlicht am: von

hardwareluxx_news_newAuch zwei Tage nach der Entdeckung eines gefälschten SSL-Zertifikats bei Google Mail, kommen immer neue bedenkliche Details über den Herausgeber dieses Zertifikats ans Licht. Ursprünglich war das Zertifikat am 10. Juli von DigiNotar erstellt worden und ab einem unbestimmten Zeitpunkt im Einsatz. Nach dem iranischen Nutzern dies aufgefallen war, hatten sich die meisten Browserhersteller dazu entschlossen, die CA (Certification Authority) DigiNotar grundsätzlich als nicht vertrauenswürdigen Herausgeber zu kennzeichnen. Das betroffene Unternehmen lies danach verlauten, man sei Opfer eines Hackerangriffs geworden und habe die betroffenen Zertifikate direkt zurückgezogen, bis auf jenes für die Google-Subdomains, welches bedauerlicherweise übersehen wurde.

Jedoch scheint diese Darstellung nicht unbedingt die ganze Wahrheit zu sein. Grundsätzlich muss sich DigiNotar die Frage gefallen lassen, warum der Einbruch nicht bereits im Juli veröffentlicht wurde, schließlich sind die SSL-Zertifikate ein wichtiger Baustein, wenn es um die Verschlüsselung der Kommunikation zwischen Seiten und Besucher geht. In welchem Ausmaß Fälschungen von den Angreifern angelegt wurde, auch darüber hat der Zertifizierer bisher nichts verlauten lassen. Er versicherte lediglich die ihm bekannten Fälschungen zurückgezogen zu haben. Der Sicherheitsexperte Mikko Hypponen von F-Secure berichtet außerdem, dass sich Hinweise auf den Webservern von DigiNotar befinden, die vermuten lassen, dass in die Server seit 2009 bereits mehrfach eingebrochen wurde.

Bei dem jüngst entdeckten Angriff sollen die Angreifer nach neusten Erkenntnissen mindestens 257 Zertifikate ausgestellt haben, wobei unklar ist, welche Seiten betroffen sind. Das SSL-Konzept sieht vor, dass Zertifikate zurückgezogen werden können und auf einer entsprechenden Liste vermerkt werden. Diese Certificate Revocation List (CRL) überprüpfen theoretisch alle Browser bevor sie ein Zertifikat anerkennen. Falls keine Verbindung zu dieser Liste zustande kommt, müssten theoretisch alle Zertifikate vorsorglich als nicht vertrauenswürdig eingestuft werden. Da dies im Alltag aber zu mitunter falschen Fehlermeldungen führen würde, ist das Gegenteil der Fall und das Zertifikat wird zunächst als sicher angenommen, solange dem Herausgeber über das sogenannte Root-Zertifikat selbst vertraut wird. Kann ein Angreifer diese Abfrage also blockieren, kann er sein eigentlich zurückgezogenes Zertifikat als vertrauenswürdig darstellen.

Bis auf Opera wenden alle großen Hersteller dieses Verfahren an, weshalb dort diverse Updates nötig wurden. Während Microsoft ab Windows Vista eine gesonderte Liste mit vertrauenswürdigen Zertifikaten pflegt, wird es für Windows XP ein Update geben. Mozilla hat seine im Browser integrierte Liste per Update entschärft. Für Chrome hat Google zunächst zehn Zertifikate direkt gesperrt und wird in einem weiteren Update die 247 weiteren ebenfalls auf die eigene Sperrliste stellen. Ob DigiNotar selbst noch als vertrauenswürdiger Herausgeber angenommen wird, kann man mit dem Aufruf der verschlüsselten DigiNotar-Seite feststellen. Wenn die Updates erfolgreich waren, sollte aktuell eine Warnmeldung erscheinen. DigiNotar selbst schreibt zu den zurückgezogenen Zertifikaten, dass 99,99% der Warnmeldungen falsch sein und empfiehlt das eigene Root-Zertifikat wieder zu installieren.

Weiterführende Links:

Social Links

Kommentare (2)

#1
customavatars/avatar117617_1.gif
Registriert seit: 03.08.2009
Hallein im wunderschönen Salzburg
Kapitän zur See
Beiträge: 3153
Fehler im ersten Absatz "man sein Opfer eines Hackerangriffs geworden und habe die betroffenen Zertifikate direkt zurückgezogen,
#2
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Danke! Ist repariert.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]