Mozilla stellt Herausgebern von SSL-Zertifikaten ein Ultimatum

Mozilla hat den Herausgebern von SSL-Zertifikaten, den sogenannten Certificate Authorities (CA), eine Frist gesetz, in der sie ihre Sicherheit verbessern müssen. Der Browserhersteller reagiert damit auf einen Hackerangriff auf das niederländische Unternehmen DigiNotar, der zur Ausstellung von mehr als 500 gefälschten Zertifikaten geführt hatte.

„Die Teilnahme an Mozillas Root-Programm erfolgt nach unserem eigenen Ermessen. Wir werden alle notwendigen Schritte einleiten, um die Sicherheit unserer Nutzer zu gewährleisten“, schreibt Kathleen Wilson, Eigentümerin von Mozillas CA Certificates Module, in einem offenen Brief an rund vier Dutzend CAs. Das von ihr gestellte Ultimatum läuft am 16. September ab.

Bis dahin sollen die Firmen ihre Systeme auf mögliche Einbrüche überprüfen und Listen mit Zertifikaten erstellen, die von mehreren CAs signiert worden sind. Zudem verlangt sie eine Bestätigung dafür, dass für die Ausstellung von Zertifikaten eine Mehrschritt-Authentifizierung notwendig ist und dass für populäre Domains wie Google.com automatische Sperren eingeführt werden, falls blockierte Zertifikate manuell geprüft werden sollen.

Was allerdings passiert, wenn die CAs die gesetzte Frist verstreichen lassen oder nicht alle Anforderungen erfüllen, ließ die Managerin offen. Wie schon im Fall von DigiNotar könnte Mozilla einzelnen Herausgebern das Vertrauen entziehen. Nutzer würden dann eine Warnmeldung erhalten, falls sie mit Firefox eine Website besuchen, die mit einem nicht vertrauenswürdigen Zertifikat signiert wurde.

Ein 21-jähriger Hacker aus dem Iran, der sich selbst „Comodo-Hacker“ nennt, hatte im Lauf der Woche die Verantwortung für den Einbruch bei DigiNotar übernommen. Er behauptet zudem, sich Zugang zu weiteren CAs verschafft zu haben, darunter GlobalSign aus Belgien und StartCom aus Israel.

GlobalSign stellte daraufhin die Vergabe neuer Zertifikate ein. Die Behauptung des Hackers, er sei im Besitz eines Private Key von GlobalSign, wies das Unternehmen jedoch zurück. Es gehe davon aus, ab kommendem Montag seine Onlinedienste wieder anbieten zu können.

StartCom hingegen wollte auf Nachfrage von ZDNet die Äußerungen des Hackers nicht kommentieren. Chief Technology Officer Eddy Nigg bestätigte lediglich, dass sein Unternehmen Ziel eines Hackerangriffs war. Eines Berichts von The Register aus Juni zufolge hatte ein Unbekannter erfolglos versucht, im Namen von StartCom gefälschte Zertifikate für Google und andere Websites auszustellen.

Die Einbrüche zeigen die Schwächen des Systems zur Authentifizierung von Websites auf, das auf mehr als 600 Firmen weltweit basiert, denen die Vergabe digitaler Zertifikate anvertraut wurde. SSL-Zertifikate sollen gewährleisten, dass ein Nutzer mit der von ihm gewünschten Website verbunden ist. Die Herausgeber der Zertifikate verwenden allerdings weder einheitliche Sicherheitsstandards noch ein Standardverfahren, um gefälschte Zertifikate für ungültig zu erklären.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

8 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago