Mozilla misstraut chinesischer Certificate Authority

Mozilla hat seiner Community vorgeschlagen, Zertifikaten der chinesischen Ausgabestelle WoSign für ein Jahr das Vertrauen zu entziehen. Diese hatte falsche Zertifikate für die Code-Hosting-Site GitHub ausgegeben. Auch Zertifikate von StartCom aus Israel möchte der Browserhersteller vorübergehend entwerten. Diese Certificate Authority (CA) wurde im November 2015 von WoSign übernommen, das dies aber zunächst aus unbekannten Gründen geheim hielt.

Die Sperre wäre für ein Jahr gültig. Anschließend müssten sich WoSign und StartCom neuerlich für das Vertrauensprogramm von Mozilla bewerben. Bestehende Zertifikate will Mozilla aber weiter akzeptieren, da diese sehr verbreitet seien und es ärgerliche Konsequenzen für die unbeteiligten Endanwender vermeiden wolle.

Mozilla hatte den Fall nach einer Querele über ein von WoSign an Unberechtigte ausgegebenes Zertifikat für eine Subdomain von GitHub untersucht. Ein solcher Vorfall gilt als großes Sicherheitsrisiko, weil sich Dritte mit dem Zertifikat als GitHub ausweisen, Verbindungen entführen und Nutzer ausspionieren könnten. Dergleichen geschah nach einem Sicherheitsvorfall bei der niederländischen CA DigiNotar, als falsche Zertifikate für Google-Domains zur Überwachugn von Anwendern aus dem Iran eingesetzt wurden.

Der von Mozilla vorgelegte Bericht rückt aber noch ein anderes Problem in den Mittelpunkt: Nach seinen Erkenntnissen hat WoSign Zertifikate rückdatiert, um eine Blockade in Browsern aufgrund der Verwendung des Hashing-Algorithmus SHA-1 zu umgehen. Unterstützung für SHA-1-Zertifikate läuft in allen großen Browsern zugunsten des Nachfolgers SHA-256 aus, da der alte Algorithmus als anfällig für Fälschungen gilt. Microsofts Browser Internet Explorer und Edge beispielsweise warnen seit dem Anniversary Update für Windows 10 vor SHA-1-Zertifikaten. Ab Februar 2017 sollen sie nicht mehr akzeptiert werden.

CAs sind eigentlich verpflichtet, nach dem 1. Januar 2016 keine SHA-1-Zertifikate mehr auszugeben. Mozilla hat aber 62 von WoSign 2016 ausgestellte Zertifikate aufgespürt, die auf Dezember 2015 rückdatiert wurden.

Da CAs als Vertrauensstellen das Rückgrat von Public-Key-Systemen darstellen, müssen sie Änderungen ihrer Besitzverhältnisse offenlegen. WoSign hat aber laut dem Firefox-Anbieter Ende 2015 „direkt abgestritten“, StartCom übernommen zu haben. Inzwischen wird dieser Deal von ihm als 100-prozentige Investition“ dargestellt, es handel sich also um zwei völlig eigenständige Einrichtungen, während Mozilla Hinweise fand, dass StartCom inzwischen WoSigns Infrastruktur nutzt.

Angehörige der Mozilla-Community, aber auch die Öffentlichkeit sind nun eingeladen, den Fall zu kommentieren und eventuelle neue Indizien einzubringen. Offen ist noch, wie schnell sich die angestrebte Sperre in Firefox umsetzen lässt und ob WoSign anschließend ein neues Root-Zertifikat benötigt oder das alte weiter einsetzen kann.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.