Französische Regierungsbehörde fälschte Zertifikate von Google-Domains

Urheber ist die dem Präsidenten unterstellte Sicherheitsbehörde ANSSI. Ihr zufolge wurden die Zertifikate nur versehentlich ausgestellt. Es bestand angeblich keine Gefahr für die französische Regierung oder die Allgemeinheit.

Google hat mehrere gefälschte Zertifikate für seine Domains entdeckt. Einem Blogeintrag des Unternehmens zufolge wurden sie von einer Intermediate Certificate Authority (CA) ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verweist – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen.

„Zertifikate von Intermediate CAs besitzen alle Befugnisse der Certificate Authority“, schreibt Google. „Jeder, der eine Intermediate CA besitzt, kann Zertifikate für die Websites ausgeben, die er nachahmen will.“

In einer Stellungnahme räumte die ANSSI ein, dass es sich bei der Intermediate CA um die eigene Abteilung zur Verwaltung der Infrastruktur der Behörde handelt. Die gefälschten Zertifikate seien aber nicht absichtlich, sondern durch einen „menschlichen Fehler“ ausgestellt worden. „Der Fehler hatte keine Auswirkungen auf die Netzwerksicherheit an sich, weder für die französische Regierung noch für die Allgemeinheit.“

Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen. Die Nutzer in dem Netzwerk hätten zwar davon gewusst, diese Praxis verstoße aber trotzdem gegen die Regeln der ANSSI.

Der Internetkonzern nutzt den Vorfall auch, um auf sein Projekt Certificate Transparency hinzuweisen. Es soll Fehler bei der Vergabe von SSL-Zertifikaten beseitigen, die Website-Spoofing und Man-in-the-Middle-Angriffe auslösen könnten. Googles Antwort auf dieses Problem sind Rahmenbedingungen für die Überwachung und Kontrolle von Zertifikaten, wodurch betrügerische CAs sowie der Missbrauch von Zertifikaten aufgedeckt werden soll.

Es ist nicht das erste Mal, dass ein Fehler in dem System für SSL-Zertifikate entdeckt wurde. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Google, Internet, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Französische Regierungsbehörde fälschte Zertifikate von Google-Domains

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *