Gestohlene SSL-Zertifikate betreffen auch Facebook und CIA

Der Diebstahl von mehr als 500 SSL-Zertifikaten in der vergangenen Woche betrifft anscheinend auch Facebook, Microsofts Windows Update und den VoIP-Dienst Skype. Zu den weiteren Opfern gehören der israelische Geheimdienst Mossad, der britische MI6 und der US-Geheimdienst CIA.

Die Zertifikate waren dem niederländischen Unternehmen DigiNotar gestohlen worden. Die Regierung des Landes sagte am Samstag, sie könne derzeit nicht für die Sicherheit ihrer Websites garantieren.

Browserhersteller haben inzwischen auf den Diebstahl reagiert. Mozilla teilte am Freitag mit, es habe alle Zertifikate von DigiNotar zurückgenommen, da es das Unternehmen an sich als nicht mehr vertrauenswürdig einstufe. Die entwendeten Zertifikate ermöglichen Phishing- und Man-in-the-Middle-Angriffe. Auch die Browser von Microsoft und Google warnen Nutzer, wenn sie auf Websites zugreifen wollen, die die gestohlenen Zertifikate verwenden.

Wer für den Einbruch bei DigiNotar verantwortlich ist, ist bisher nicht bekannt. F-Secure und auch Google vermuten den Iran hinter der Attacke. Der Suchriese hatte in der vergangenen Woche Angriffe auf Mail-Nutzer im Iran bestätigt, bei denen ein gefälschtes SSL-Zertifikat von DigiNotar zum Einsatz kam. Das niederländische Innenministerium schloss sich dieser Einschätzung nicht an.

Mozilla wirft DigiNotar vor, schon vor sechs Wochen von einem Missbrauch seiner Zertifikate erfahren zu haben, ohne den Browserhersteller zu informieren. Dies sei besonders ärgerlich, weil Mozilla Zertifikate von DigiNotar für seine Domain „addons.mozilla.org“ einsetze.

„Die Integrität des SSL-Systems kann nicht im Geheimen aufrechterhalten werden“, schreibt Jonathan Nightingale, Direktor für Firefox Engineering, im Mozilla Security Blog. „Vorfälle wie dieser zeigen die Notwendigkeit einer aktiven, sofortigen und umfassenden Kommunikation zwischen den Herausgebern von Zertifikaten und Softwareanbietern, um die Online-Sicherheit unserer gemeinsamen Nutzer zu bewahren.“