Google erstellt Liste nicht vertrauenswürdiger Zertifikatsanbieter

Google stellt im Rahmen von Certificate Transparency (CT) eine neue Liste von derzeit nicht vertrauenswürdigen Zertifikatsanbietern bereit. Dabei kann es sich um Certificate Authorities oder kurz CAs handeln, die aufgrund vergangener Vorfälle das in sie gesetzte Vertrauen verloren haben – oder um neue Anbieter, die erst auf dem Weg sind, von Browsern als vertrauenswürdige Root-Aussteller gesehen zu werden.

Es wäre problematisch gewesen, diese Anbietergruppen in einem Verzeichnis vertrauenswürdiger Aussteller mit aufzunehmen, führt Softwareentwickler Martin Smith in einem Blogeintrag aus. Als Gründe dafür nennt er etwa Ungewissheiten hinsichtlich von Ungültigkeitserklärungen oder mögliche Cross-Signing-Angriffe durch böswillige Dritte. Zweifellos nützlich aber sei, die Aktivitäten dieser Zertifikatsanbieter im Blickfeld zu behalten. Der Browser Chrome wird demnach den dort aufgeführten Anbietern nicht vertrauen und Zertifikate erkennbar machen, die Google nicht als vertrauenswürdig einstuft.

Der Internetkonzern reagiert damit offenbar auf verschiedene Vorfälle im letzten Jahr. So hatte das China Internet Network Information Center (CNNIC) als zentrale Ausgabestelle für Root-Zertifikate Chinas indirekt die missbräuchliche Ausgabe von SSL-Zertifikaten für mehrere Google-Domains ermöglicht. Es hatte sie zwar nicht selbst ausgestellt, aber das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer autorisiert.

Angreifer hätten sich so als Google-Site ausgeben können. Der Fehler lag zwar letztlich bei MCS, Google wies dem CNNIC aber die Schuld zu, „einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen“ zu haben. Google entschied daraufhin, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren sollten.

Vertrauen verspielt hat aber auch Symantec, das die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen musste. Die Sicherheitsfirma entließ zwar dafür verantwortliche Mitarbeiter und betonte, die Zertifikate seien nur für interne Testzwecke genutzt worden. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Aufgrund dieses Risikos entzog Google in Chrome und Android zwei von Symantec genutzten Verisign-Root-Zertifikaten das Vertrauen.

Schon 2013 sorgten von einer französischen Regierungsbehörde gefälschte Zertifikate von Google-Domains für Verärgerung. Sie wurden von einer Intermediate Certificate Authority ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verwies – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen. Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen.

Googles neue Liste ist über ct.googleapis.com/submariner zugänglich und auf der Known-Logs-Seite aufgeführt. Sie ist über dieselbe API wie die bestehenden Listen ansprechbar. Vorschläge für die Aufnahme weiterer Zertifikatsanbieter sind willkommen.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.