Gewissenskonflikt: Überwachungsfirma will auf Mozillas Zertifikat-Whitelist

Die in Vereinigten Arabischen Emiraten (VAE) ansässige Cyber-Security-Firma DarkMatter, die ihre Dienste auch als repressiv eingestuften Regierungen im arabischen Raum anbietet, hat bei Mozilla die Registrierung als vertrauenswürdiger Aussteller von HTTPS-Zertifikaten beantragt. Einerseits ist das Unternehmen aufgrund seines Geschäftsmodells, zudem eben auch staatliche Spionage gehört, höchst umstritten. Andererseits beruft es sich auf seinen einwandfreien Ruf als Certificate Authority.

Vor einigen Monaten reichte DarkMatter einen Fehlerbericht für den Mozilla-Browser Firefox ein. Darin bittet das Unternehmen um Aufnahme seines Root-Zertifikats in den Certificate Store von Firefox. Dabei handelt es sich um eine interne Whitelist von vertrauenswürdigen Zertifizierungsstellen für digitale Zertifikate (Certificate Authority, CA).

CAs wiederum sind geprüfte Unternehmen oder Organisationen, die TLS-Zertifikate ausstellen, die unter anderem für die verschlüsselte HTTPS-Kommunikation verwendet werden.

Mozilla wiederum nutzt den Certificate Store seines Browsers, um zu prüfen, ob ein TLS-Zertifikat einer Website vertrauenswürdig ist, bevor Firefox den Inhalt einer verschlüsselten Website lädt. Ähnlich verfahren auch Apple, Google und Microsoft mit ihren Browsern und Betriebssystemen: alle Zertifikate von Organisationen, die über ein registriertes Root-Zertifikat verfügen, werden automatisch als vertrauenswürdig eingestuft.

Im Fall von DarkMatter würde das bedeuten, dass seine Zertifikate ebenfalls stets als vertrauenswürdig angesehen würden. Auch Antivirensoftware würde Anwendungen vertrauen, die von DarkMatter signiert wurden – also möglicherweise auch Spionage-Apps des Unternehmens.

DarkMatter betont, dass es nie auch nur ein einziges TLS-Zertifikat missbraucht habe. Von daher gebe es keinen Grund, dass Unternehmen anders zu behandeln als andere CAs, die die Registrierung ihres Root-Zertifikats für den Certificate Store von Firefox beantragt hätten. Kritik kommt indes von Organisationen wie der Electronic Frontier Foundation (EFF) und Amnesty International. „Angesichts des geschäftlichen Interesses von DarkMatter, TLS-Kommunikation abzufangen, scheint es eine sehr schlechte Idee zu sein, sie zu einer vertrauenswürdigen Root-Liste hinzuzufügen“, sagte Cooper Quintin von der Electronic Frontier Foundation.

In einem Eintrag im EFF-Blog weist er zudem auf Mozillas Erfahrungen mit CNNIC, der staatlichen Zertifizierungsstelle der chinesischen Regierung hin. Ihr Rootzertifikat sei 2009 akzeptiert worden. 2015 sei dann ein Missbrauch festgestellt worden, der es Behörden des Landes erlaubt habe, für Google gedachten Traffic abzufangen.

Derzeit ist es DarkMatter bereits möglich, TLS-Zertifikate über eine Tochter von DigiCert auszustellen. Dabei soll es bereits zu Unregelmäßigkeiten gekommen sein, die offenbar auf technischen Problemen basierten. Ein offener Missbrauch wurde bisher nicht nachgewiesen. Nicht näher genannte Mozilla-Mitarbeiter erklärten gegenüber ZDNet USA, Mozilla prüfe den Antrag von DarkMatter noch. Von DarkMatters Geschäftsmodell soll Mozilla indes erst im Januar über einen Bericht der Agentur Reuters erfahren haben. Daraufhin soll Mozilla eine neue Diskussion auf Google Groups gestartet haben, um mehr Rückmeldungen aus der Community zu erhalten. Die dort geäußerte Kritik soll Mozilla wahrscheinlich als Grund nutzen, um den Antrag von DarkMatter abzulehnen.

„Die Mozilla-Root-Store-Richtlinie gewährt uns das Ermessen, Maßnahmen zu ergreifen, die auf dem Risiko für Personen basieren, die unsere Produkte verwenden. Trotz des Fehlens direkter Beweise für einen Missbrauch durch DarkMatter kann dies ein Zeitpunkt sein, an dem wir unser Ermessen nutzen sollten, um im Interesse von Personen zu handeln, die sich auf unseren Root-Speicher verlassen“, teilte Mozilla mit.

Korrektur: Die Firma Dark Matter hat ihren Sitz in den Vereinigten Arabischen Emiraten und nicht wie ursprünglich in dem Artikel behauptet in Saudi Arabien.