Google akzeptiert keine Zertifikate von CNNIC mehr

Google hat Zertifikate des China Internet Network Information Center (CNNIC) auf eine schwarze Liste gesetzt. Das CNNIC ist die zentrale Ausgabestelle für Root-Zertifikate Chinas („Root Certificate Authority“ oder kurz CA) und verwaltet auch die Länderdomain .cn. Die Entscheidung betrifft alle Google-Produkte.

Vergangene Woche hatten sich Google, aber auch Microsoft und Mozilla beschwert, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Als Ausgabestelle wurde das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgemacht, das wiederum von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde.

Angreifer hätten sich so als Google-Site ausgeben können. Der Fehler lag zwar letztlich bei MCS, Google wies dem CNNIC aber die Schuld zu, „einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen“ zu haben.

CNNIC erklärte, mit MCS Holdings sei vereinbart worden, dass die fraglichen Zertifikate nur für Domains eingesetzt werden dürfen, die von diesem Unternehmen selbst registriert wurden. Stattdessen sei jedoch die Nutzung in einem Man-in-the-Middle-Proxy erfolgt. Solche Proxys fangen die Kommunikation gesicherter Verbindungen ab, indem sie vorgeben, das beabsichtigte Ziel zu sein. So kamen die Zertifikate für *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com und *.googleapis.com zur Anwendung.

In einem aktualisierten Blogeintrag zu diesen Vorkommnissen schreibt Google nun: „Wir haben entschieden, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren werden.“ Dies werde man durch ein Chrome-Update umsetzen. Um Kunden den Übergang zu erleichtern, werde man bestehende CNNIC-Zertifikate vorläufig auf eine öffentlich einsehbare Whitelist aufnehmen.

Weder Google noch CNNIC glaube, dass weitere nicht autorisierte Zertifikate ausgegeben wurden, heißt es weiter, und Google gehe davon aus, dass sie wirklich nur im Testnetz von MCS zum Einsatz kamen. „CNNIC wird Certificate Transparency für alle seine Zertifikate implementieren, bevor es ihre neuerliche Zulassung beantragt. Wir billigen diese proaktiven Schritte und laden sie ein, neue Anträge zu stellen, sobald angemessene technische und betriebliche Kontrollen eingerichtet wurden.“

Trotz des versöhnlichen Tons, den Google hier anschlägt, hat das CNNIC mit lautem Protest reagiert: „Googles Entscheidung ist für CNNIC weder akzeptabel noch verständlich, und vorerst drängt CNNIC Google ernsthaft, die Rechte und Interessen der User voll zu bedenken.“ Es garantiere allen Kunden, an die es Zertifikate ausgegeben habe, dass ihre Rechte und Interessen nicht betroffen sein würden.

Mozillas für Verschlüsselung zuständiger Manager Richard Barnes sagte Ars Technica, man habe für Firefox noch keine endgültige Entscheidung getroffen. Er schlägt aber eine Art Abmahnverfahren vor. Demnach würden ältere Zertifikate zurückgewiesen, und CNNIC müsste eine Liste aller derzeit gültigen Zertifikate verfügbar machen, sodass eventuell rückdatierte Zertifikate ausfindig gemacht werden könnten. Anschließend würde sich CNNIC neu als Root Certificate Authority bewerben und dabei bestimmte – noch zu definierende – Bedingungen erfüllen müssen.

Der Fall der ägyptischen Zertifikate ist nicht der einzige, in dem das CNNIC als Root CA eine fragwürdige Rolle spielt. Die chinakritische Organisation Greatfire.org hat Apple, Google und Microsoft aufgefordert, das Vertrauen für CNNIC-Zertifikate zurückzuziehen. Damit seien nämlich Angriffe auf chinesische Nutzer der US-Dienste durchgeführt worden: Unbekannte gaben sich etwa als Mailserver von Apple, Google oder Microsoft aus, um Anfragen umzulenken und so an Mails der Nutzer zu kommen beziehungsweise diese am Versand zu hindern. So wurde zu Jahresanfang die chinesische Zensur verschärft, nachdem Webzugriffe auf Dienste wie Gmail ohnehin gesperrt sind.

Greatfire.org scheint in den letzten Wochen auch mehrfach Opfer von DDoS-Angriffen geworden zu sein, die seine bei Amazon Web Services und bei GitHub gehosteten Angebote trafen. Die chinesische Regierung hat sich zwar als Opfer dargestellt, eine Beteiligung aber nicht wörtlich abgestritten.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.