Google hat mehrere gefälschte Zertifikate für seine Domains entdeckt. Einem Blogeintrag des Unternehmens zufolge wurden sie von einer Intermediate Certificate Authority (CA) ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verweist – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen.
„Zertifikate von Intermediate CAs besitzen alle Befugnisse der Certificate Authority“, schreibt Google. „Jeder, der eine Intermediate CA besitzt, kann Zertifikate für die Websites ausgeben, die er nachahmen will.“
In einer Stellungnahme räumte die ANSSI ein, dass es sich bei der Intermediate CA um die eigene Abteilung zur Verwaltung der Infrastruktur der Behörde handelt. Die gefälschten Zertifikate seien aber nicht absichtlich, sondern durch einen „menschlichen Fehler“ ausgestellt worden. „Der Fehler hatte keine Auswirkungen auf die Netzwerksicherheit an sich, weder für die französische Regierung noch für die Allgemeinheit.“
Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen. Die Nutzer in dem Netzwerk hätten zwar davon gewusst, diese Praxis verstoße aber trotzdem gegen die Regeln der ANSSI.
Der Internetkonzern nutzt den Vorfall auch, um auf sein Projekt Certificate Transparency hinzuweisen. Es soll Fehler bei der Vergabe von SSL-Zertifikaten beseitigen, die Website-Spoofing und Man-in-the-Middle-Angriffe auslösen könnten. Googles Antwort auf dieses Problem sind Rahmenbedingungen für die Überwachung und Kontrolle von Zertifikaten, wodurch betrügerische CAs sowie der Missbrauch von Zertifikaten aufgedeckt werden soll.
Es ist nicht das erste Mal, dass ein Fehler in dem System für SSL-Zertifikate entdeckt wurde. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.
[mit Material von Michael Lee, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…