Google hat mehrere gefälschte Zertifikate für seine Domains entdeckt. Einem Blogeintrag des Unternehmens zufolge wurden sie von einer Intermediate Certificate Authority (CA) ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verweist – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen.
„Zertifikate von Intermediate CAs besitzen alle Befugnisse der Certificate Authority“, schreibt Google. „Jeder, der eine Intermediate CA besitzt, kann Zertifikate für die Websites ausgeben, die er nachahmen will.“
In einer Stellungnahme räumte die ANSSI ein, dass es sich bei der Intermediate CA um die eigene Abteilung zur Verwaltung der Infrastruktur der Behörde handelt. Die gefälschten Zertifikate seien aber nicht absichtlich, sondern durch einen „menschlichen Fehler“ ausgestellt worden. „Der Fehler hatte keine Auswirkungen auf die Netzwerksicherheit an sich, weder für die französische Regierung noch für die Allgemeinheit.“
Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen. Die Nutzer in dem Netzwerk hätten zwar davon gewusst, diese Praxis verstoße aber trotzdem gegen die Regeln der ANSSI.
Der Internetkonzern nutzt den Vorfall auch, um auf sein Projekt Certificate Transparency hinzuweisen. Es soll Fehler bei der Vergabe von SSL-Zertifikaten beseitigen, die Website-Spoofing und Man-in-the-Middle-Angriffe auslösen könnten. Googles Antwort auf dieses Problem sind Rahmenbedingungen für die Überwachung und Kontrolle von Zertifikaten, wodurch betrügerische CAs sowie der Missbrauch von Zertifikaten aufgedeckt werden soll.
Es ist nicht das erste Mal, dass ein Fehler in dem System für SSL-Zertifikate entdeckt wurde. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.
[mit Material von Michael Lee, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…