Categories: Sicherheit

Google erstellt Liste nicht vertrauenswürdiger Zertifikatsanbieter

Google stellt im Rahmen von Certificate Transparency (CT) eine neue Liste von derzeit nicht vertrauenswürdigen Zertifikatsanbietern bereit. Dabei kann es sich um Certificate Authorities oder kurz CAs handeln, die aufgrund vergangener Vorfälle das in sie gesetzte Vertrauen verloren haben – oder um neue Anbieter, die erst auf dem Weg sind, von Browsern als vertrauenswürdige Root-Aussteller gesehen zu werden.

Es wäre problematisch gewesen, diese Anbietergruppen in einem Verzeichnis vertrauenswürdiger Aussteller mit aufzunehmen, führt Softwareentwickler Martin Smith in einem Blogeintrag aus. Als Gründe dafür nennt er etwa Ungewissheiten hinsichtlich von Ungültigkeitserklärungen oder mögliche Cross-Signing-Angriffe durch böswillige Dritte. Zweifellos nützlich aber sei, die Aktivitäten dieser Zertifikatsanbieter im Blickfeld zu behalten. Der Browser Chrome wird demnach den dort aufgeführten Anbietern nicht vertrauen und Zertifikate erkennbar machen, die Google nicht als vertrauenswürdig einstuft.

Der Internetkonzern reagiert damit offenbar auf verschiedene Vorfälle im letzten Jahr. So hatte das China Internet Network Information Center (CNNIC) als zentrale Ausgabestelle für Root-Zertifikate Chinas indirekt die missbräuchliche Ausgabe von SSL-Zertifikaten für mehrere Google-Domains ermöglicht. Es hatte sie zwar nicht selbst ausgestellt, aber das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer autorisiert.

Angreifer hätten sich so als Google-Site ausgeben können. Der Fehler lag zwar letztlich bei MCS, Google wies dem CNNIC aber die Schuld zu, „einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen“ zu haben. Google entschied daraufhin, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren sollten.

ANZEIGE

V-NAND: Flash-Technologie der Zukunft

V-NAND Flash-Speicher erreichen mit vertikal angeordneten Speicherzellen und neuen Materialien eine höhere Datendichte und Lebensdauer. In Kombination mit der M.2-Schnittstelle und dem NVMe-Protokoll sind SSDs nun bis zu fünfmal schneller als herkömmliche SATA-SSDs.

Vertrauen verspielt hat aber auch Symantec, das die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen musste. Die Sicherheitsfirma entließ zwar dafür verantwortliche Mitarbeiter und betonte, die Zertifikate seien nur für interne Testzwecke genutzt worden. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Aufgrund dieses Risikos entzog Google in Chrome und Android zwei von Symantec genutzten Verisign-Root-Zertifikaten das Vertrauen.

Schon 2013 sorgten von einer französischen Regierungsbehörde gefälschte Zertifikate von Google-Domains für Verärgerung. Sie wurden von einer Intermediate Certificate Authority ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verwies – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen. Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen.

Googles neue Liste ist über ct.googleapis.com/submariner zugänglich und auf der Known-Logs-Seite aufgeführt. Sie ist über dieselbe API wie die bestehenden Listen ansprechbar. Vorschläge für die Aufnahme weiterer Zertifikatsanbieter sind willkommen.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

19 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

22 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Tag ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago