Google stellt im Rahmen von Certificate Transparency (CT) eine neue Liste von derzeit nicht vertrauenswürdigen Zertifikatsanbietern bereit. Dabei kann es sich um Certificate Authorities oder kurz CAs handeln, die aufgrund vergangener Vorfälle das in sie gesetzte Vertrauen verloren haben – oder um neue Anbieter, die erst auf dem Weg sind, von Browsern als vertrauenswürdige Root-Aussteller gesehen zu werden.
Der Internetkonzern reagiert damit offenbar auf verschiedene Vorfälle im letzten Jahr. So hatte das China Internet Network Information Center (CNNIC) als zentrale Ausgabestelle für Root-Zertifikate Chinas indirekt die missbräuchliche Ausgabe von SSL-Zertifikaten für mehrere Google-Domains ermöglicht. Es hatte sie zwar nicht selbst ausgestellt, aber das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer autorisiert.
Angreifer hätten sich so als Google-Site ausgeben können. Der Fehler lag zwar letztlich bei MCS, Google wies dem CNNIC aber die Schuld zu, „einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen“ zu haben. Google entschied daraufhin, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren sollten.
V-NAND Flash-Speicher erreichen mit vertikal angeordneten Speicherzellen und neuen Materialien eine höhere Datendichte und Lebensdauer. In Kombination mit der M.2-Schnittstelle und dem NVMe-Protokoll sind SSDs nun bis zu fünfmal schneller als herkömmliche SATA-SSDs.
Vertrauen verspielt hat aber auch Symantec, das die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen musste. Die Sicherheitsfirma entließ zwar dafür verantwortliche Mitarbeiter und betonte, die Zertifikate seien nur für interne Testzwecke genutzt worden. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Aufgrund dieses Risikos entzog Google in Chrome und Android zwei von Symantec genutzten Verisign-Root-Zertifikaten das Vertrauen.
Schon 2013 sorgten von einer französischen Regierungsbehörde gefälschte Zertifikate von Google-Domains für Verärgerung. Sie wurden von einer Intermediate Certificate Authority ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verwies – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen. Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen.
Googles neue Liste ist über ct.googleapis.com/submariner zugänglich und auf der Known-Logs-Seite aufgeführt. Sie ist über dieselbe API wie die bestehenden Listen ansprechbar. Vorschläge für die Aufnahme weiterer Zertifikatsanbieter sind willkommen.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.
Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…
ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.