Google-Zertifikate unerlaubt ausgestellt

Google hat darauf aufmerksam gemacht, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Als Ausgabestelle wurde das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgemacht, das wiederum von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde. Da CNNIC in allen wichtigen Root-Speichern enthalten ist, genossen die regelwidrig ausgestellten Zertifikate grundsätzlich das Vertrauen aller Browser und Betriebssysteme. Google wollte zudem nicht ausschließen, dass die Zertifikate auch für andere Domains genutzt wurden.

Auf Nachfrage erklärte CNNIC, mit MCS Holdings sei vereinbart worden, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden. Stattdessen sei jedoch die Nutzung in einem Man-in-the-Middle-Proxy erfolgt. Solche Proxys fangen die Kommunikation gesicherter Verbindungen ab, indem sie vorgeben, das beabsichtigte Ziel zu sein. Sie kommen etwa in Firmen zum Einsatz, um das Surfverhalten von Mitarbeitern zu überwachen.

Dafür müssen gewöhnlich die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. In diesem Fall erhielt der mutmaßliche Proxy jedoch die volle Autorität einer öffentlichen Zertifizierungsstelle übertragen, was Googles Sicherheitsspezialist Adam Langley in einem Blogeintrag als eine ernsthafte Verletzung des CA-Systems ansieht, vergleichbar der 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.

Langley versichert den Nutzern von Chrome sowie Firefox ab Version 33, dass ihre Browser die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen hätten. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.

Konkrete Missbrauchsfälle durch den aktuellen Vorfall wurden bislang nicht bekannt. Er zeigt aber erneut eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.

Es ist nicht das erste Mal, dass ein Fehler im System für SSL-Zertifikate entdeckt wurde. Erst letzte Woche warnte Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.