Getürkte Zertifikate ermöglichen Nachbauten von Google-Sites

Eine türkische Zertifizierungsstelle hat versehentlich digitale Zertifikate ausgestellt, die tatsächlich für aktive Angriffsversuche genutzt wurden. Die Browseranbieter Mozilla, Microsoft und Google haben darauf bereits reagiert und blockieren die fraglichen Zertifikate.

Wie Google-Entwickler Adam Langley in einem Blogeintrag berichtet, entdeckte das Chrome-Team am Abend des 24. Dezember ein nicht autorisiertes Zertifikat für die Domain „*.google.com“ und blockierte sie. Die weiteren Nachforschungen zeigten, dass das Zertifikat von einer Zwischenstelle ausgestellt worden war, die zur türkischen Zertifizierungsstelle TurkTrust zurückverwies. Langley zufolge verliehen die fraglichen Zertifikate die volle Autorität zur Schaffung eines Zertifikats, um beliebige Websites zu verkörpern.

TurkTrust räumte daraufhin ein, zwei Zwischenzertifikate („Intermediate CA“) versehentlich an Organisationen ausgegeben zu haben, die eigentlich nur reguläre SSL-Zertifikate erhalten sollten. Nach eigenen Angaben ist TurkTrust „das einzige ortsansässige Unternehmen in der Türkei, das von Microsoft (Internet Explorer), Mozilla (Firefox) sowie den Webbrowsern Opera und Safari anerkannt wird und dessen SSL-Serverzertifikate weltweit gültig sind.“

Fraglich ist allerdings, ob es dabei bleibt, nachdem alle bedeutenden Browserhersteller auf das Sicherheitsproblem aufmerksam wurden. Google hat als erste Maßnahme die falsch ausgestellten Zertifikate mit einem Chrome-Update blockiert und behält sich „nach sorgfältiger“ Abwägung weitere Maßnahmen vor.

Microsoft hat inzwischen seine Certificate Trust List (CTL) aktualisiert, um seine Nutzer vor Schaden zu bewahren. Bei einer Windows-Installation ohne automatische Aktualisierung widerrufener Zertifikate sei ein sofortiges Update angeraten. Laut Microsoft wurde eines der fälschlicherweise ausgestellten Zwischenzertifikate benutzt, um „ein betrügerisches Zertifikat für *.google.com zu erzeugen“. Ein solches betrügerisches Zertifikat könne für Content-Spoofing, Phishing-Attacken oder Man-in-the-Middle-Angriffe gegen verschiedene Google-Sites genutzt werden.

„Solche Zertifikate könnten Benutzer täuschen und Websites vertrauen lassen, die den Domaininhabern zu gehören scheinen, aber tatsächlich bösartige Inhalte oder Software enthalten“, heißt es bei Mozilla. Neben den beiden falsch ausgestellten Zertifikaten hat es für seinen Browser Firefox auch die Gültigkeit eines Root-Zertifikats von TurkTrust aufgehoben – und in ihrem Sicherheitsforum diskutieren die Mozilla-Entwickler über weitere Maßnahmen.

[mit Material von Seth Rosenblatt, News.com]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago