Google hat darauf aufmerksam gemacht, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Als Ausgabestelle wurde das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgemacht, das wiederum von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde. Da CNNIC in allen wichtigen Root-Speichern enthalten ist, genossen die regelwidrig ausgestellten Zertifikate grundsätzlich das Vertrauen aller Browser und Betriebssysteme. Google wollte zudem nicht ausschließen, dass die Zertifikate auch für andere Domains genutzt wurden.
Dafür müssen gewöhnlich die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. In diesem Fall erhielt der mutmaßliche Proxy jedoch die volle Autorität einer öffentlichen Zertifizierungsstelle übertragen, was Googles Sicherheitsspezialist Adam Langley in einem Blogeintrag als eine ernsthafte Verletzung des CA-Systems ansieht, vergleichbar der 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.
Langley versichert den Nutzern von Chrome sowie Firefox ab Version 33, dass ihre Browser die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen hätten. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.
Konkrete Missbrauchsfälle durch den aktuellen Vorfall wurden bislang nicht bekannt. Er zeigt aber erneut eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Es ist nicht das erste Mal, dass ein Fehler im System für SSL-Zertifikate entdeckt wurde. Erst letzte Woche warnte Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.