Mozilla stellt Herausgebern von SSL-Zertifikaten ein Ultimatum

Mozilla hat den Herausgebern von SSL-Zertifikaten, den sogenannten Certificate Authorities (CA), eine Frist gesetz, in der sie ihre Sicherheit verbessern müssen. Der Browserhersteller reagiert damit auf einen Hackerangriff auf das niederländische Unternehmen DigiNotar, der zur Ausstellung von mehr als 500 gefälschten Zertifikaten geführt hatte.

„Die Teilnahme an Mozillas Root-Programm erfolgt nach unserem eigenen Ermessen. Wir werden alle notwendigen Schritte einleiten, um die Sicherheit unserer Nutzer zu gewährleisten“, schreibt Kathleen Wilson, Eigentümerin von Mozillas CA Certificates Module, in einem offenen Brief an rund vier Dutzend CAs. Das von ihr gestellte Ultimatum läuft am 16. September ab.

Bis dahin sollen die Firmen ihre Systeme auf mögliche Einbrüche überprüfen und Listen mit Zertifikaten erstellen, die von mehreren CAs signiert worden sind. Zudem verlangt sie eine Bestätigung dafür, dass für die Ausstellung von Zertifikaten eine Mehrschritt-Authentifizierung notwendig ist und dass für populäre Domains wie Google.com automatische Sperren eingeführt werden, falls blockierte Zertifikate manuell geprüft werden sollen.

Was allerdings passiert, wenn die CAs die gesetzte Frist verstreichen lassen oder nicht alle Anforderungen erfüllen, ließ die Managerin offen. Wie schon im Fall von DigiNotar könnte Mozilla einzelnen Herausgebern das Vertrauen entziehen. Nutzer würden dann eine Warnmeldung erhalten, falls sie mit Firefox eine Website besuchen, die mit einem nicht vertrauenswürdigen Zertifikat signiert wurde.

Ein 21-jähriger Hacker aus dem Iran, der sich selbst „Comodo-Hacker“ nennt, hatte im Lauf der Woche die Verantwortung für den Einbruch bei DigiNotar übernommen. Er behauptet zudem, sich Zugang zu weiteren CAs verschafft zu haben, darunter GlobalSign aus Belgien und StartCom aus Israel.

GlobalSign stellte daraufhin die Vergabe neuer Zertifikate ein. Die Behauptung des Hackers, er sei im Besitz eines Private Key von GlobalSign, wies das Unternehmen jedoch zurück. Es gehe davon aus, ab kommendem Montag seine Onlinedienste wieder anbieten zu können.

StartCom hingegen wollte auf Nachfrage von ZDNet die Äußerungen des Hackers nicht kommentieren. Chief Technology Officer Eddy Nigg bestätigte lediglich, dass sein Unternehmen Ziel eines Hackerangriffs war. Eines Berichts von The Register aus Juni zufolge hatte ein Unbekannter erfolglos versucht, im Namen von StartCom gefälschte Zertifikate für Google und andere Websites auszustellen.

Die Einbrüche zeigen die Schwächen des Systems zur Authentifizierung von Websites auf, das auf mehr als 600 Firmen weltweit basiert, denen die Vergabe digitaler Zertifikate anvertraut wurde. SSL-Zertifikate sollen gewährleisten, dass ein Nutzer mit der von ihm gewünschten Website verbunden ist. Die Herausgeber der Zertifikate verwenden allerdings weder einheitliche Sicherheitsstandards noch ein Standardverfahren, um gefälschte Zertifikate für ungültig zu erklären.