> > > > Noch mehr gefälschte SSL-Zertifikate von DigiNotar

Noch mehr gefälschte SSL-Zertifikate von DigiNotar

Veröffentlicht am: von

hardwareluxx_news_newAuch zwei Tage nach der Entdeckung eines gefälschten SSL-Zertifikats bei Google Mail, kommen immer neue bedenkliche Details über den Herausgeber dieses Zertifikats ans Licht. Ursprünglich war das Zertifikat am 10. Juli von DigiNotar erstellt worden und ab einem unbestimmten Zeitpunkt im Einsatz. Nach dem iranischen Nutzern dies aufgefallen war, hatten sich die meisten Browserhersteller dazu entschlossen, die CA (Certification Authority) DigiNotar grundsätzlich als nicht vertrauenswürdigen Herausgeber zu kennzeichnen. Das betroffene Unternehmen lies danach verlauten, man sei Opfer eines Hackerangriffs geworden und habe die betroffenen Zertifikate direkt zurückgezogen, bis auf jenes für die Google-Subdomains, welches bedauerlicherweise übersehen wurde.

Jedoch scheint diese Darstellung nicht unbedingt die ganze Wahrheit zu sein. Grundsätzlich muss sich DigiNotar die Frage gefallen lassen, warum der Einbruch nicht bereits im Juli veröffentlicht wurde, schließlich sind die SSL-Zertifikate ein wichtiger Baustein, wenn es um die Verschlüsselung der Kommunikation zwischen Seiten und Besucher geht. In welchem Ausmaß Fälschungen von den Angreifern angelegt wurde, auch darüber hat der Zertifizierer bisher nichts verlauten lassen. Er versicherte lediglich die ihm bekannten Fälschungen zurückgezogen zu haben. Der Sicherheitsexperte Mikko Hypponen von F-Secure berichtet außerdem, dass sich Hinweise auf den Webservern von DigiNotar befinden, die vermuten lassen, dass in die Server seit 2009 bereits mehrfach eingebrochen wurde.

Bei dem jüngst entdeckten Angriff sollen die Angreifer nach neusten Erkenntnissen mindestens 257 Zertifikate ausgestellt haben, wobei unklar ist, welche Seiten betroffen sind. Das SSL-Konzept sieht vor, dass Zertifikate zurückgezogen werden können und auf einer entsprechenden Liste vermerkt werden. Diese Certificate Revocation List (CRL) überprüpfen theoretisch alle Browser bevor sie ein Zertifikat anerkennen. Falls keine Verbindung zu dieser Liste zustande kommt, müssten theoretisch alle Zertifikate vorsorglich als nicht vertrauenswürdig eingestuft werden. Da dies im Alltag aber zu mitunter falschen Fehlermeldungen führen würde, ist das Gegenteil der Fall und das Zertifikat wird zunächst als sicher angenommen, solange dem Herausgeber über das sogenannte Root-Zertifikat selbst vertraut wird. Kann ein Angreifer diese Abfrage also blockieren, kann er sein eigentlich zurückgezogenes Zertifikat als vertrauenswürdig darstellen.

Bis auf Opera wenden alle großen Hersteller dieses Verfahren an, weshalb dort diverse Updates nötig wurden. Während Microsoft ab Windows Vista eine gesonderte Liste mit vertrauenswürdigen Zertifikaten pflegt, wird es für Windows XP ein Update geben. Mozilla hat seine im Browser integrierte Liste per Update entschärft. Für Chrome hat Google zunächst zehn Zertifikate direkt gesperrt und wird in einem weiteren Update die 247 weiteren ebenfalls auf die eigene Sperrliste stellen. Ob DigiNotar selbst noch als vertrauenswürdiger Herausgeber angenommen wird, kann man mit dem Aufruf der verschlüsselten DigiNotar-Seite feststellen. Wenn die Updates erfolgreich waren, sollte aktuell eine Warnmeldung erscheinen. DigiNotar selbst schreibt zu den zurückgezogenen Zertifikaten, dass 99,99% der Warnmeldungen falsch sein und empfiehlt das eigene Root-Zertifikat wieder zu installieren.

Weiterführende Links:

Social Links

Kommentare (2)

#1
customavatars/avatar117617_1.gif
Registriert seit: 03.08.2009
Hallein im wunderschönen Salzburg
Kapitän zur See
Beiträge: 3153
Fehler im ersten Absatz "man sein Opfer eines Hackerangriffs geworden und habe die betroffenen Zertifikate direkt zurückgezogen,
#2
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Danke! Ist repariert.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

    Logo von IMAGES/STORIES/2017/AVM

    AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

  • Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

  • Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

    Logo von IMAGES/STORIES/2017/DNS-1111

    Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

  • Schweizer ISP bietet 10 GBit/s für 34 Euro

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

  • Vodafone garantiert bei 500-Mbit/s-Anschlüssen nur 200 Mbit/s

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone hat schon vor einigen Monaten mit der Vermarkten von Anschlüsse mit 500 Mbit/s über das Kabelnetz begonnen. Der Ausbau ist in der Zwischenzeit vorangeschritten und das Unternehmen meldet, dass fast 30 % der angebundenen Haushalte auf die derzeit höchste Geschwindigkeit zugreifen... [mehr]

  • 250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]