Google hat darauf aufmerksam gemacht, dass SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt wurden. Als Ausgabestelle wurde das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer ausgemacht, das wiederum von der chinesischen Zertifizierungsstelle CNNIC autorisiert wurde. Da CNNIC in allen wichtigen Root-Speichern enthalten ist, genossen die regelwidrig ausgestellten Zertifikate grundsätzlich das Vertrauen aller Browser und Betriebssysteme. Google wollte zudem nicht ausschließen, dass die Zertifikate auch für andere Domains genutzt wurden.
Dafür müssen gewöhnlich die internen PCs konfiguriert werden, um dem Proxy zu vertrauen. In diesem Fall erhielt der mutmaßliche Proxy jedoch die volle Autorität einer öffentlichen Zertifizierungsstelle übertragen, was Googles Sicherheitsspezialist Adam Langley in einem Blogeintrag als eine ernsthafte Verletzung des CA-Systems ansieht, vergleichbar der 2013 erfolgten Ausgabe von gefälschten Zertifikaten für Google-Domains durch ANSSI, eine dem französischen Präsidenten unterstellte Behörde für die Sicherheit von Informationssystemen.
Langley versichert den Nutzern von Chrome sowie Firefox ab Version 33, dass ihre Browser die unerlaubt ausgestellten Zertifikate dank der Sicherheitsfunktion Public Key Pinning zurückgewiesen hätten. Ebenso wie Mozilla kündigte er zugleich weitere Sicherheitsmaßnahmen an und wies auf Googles Projekt Certificate Transparency hin, das Fehler bei der Vergabe von SSL-Zertifikaten ausschließen soll.
Konkrete Missbrauchsfälle durch den aktuellen Vorfall wurden bislang nicht bekannt. Er zeigt aber erneut eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffics benutzt wird: Es kann einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Es ist nicht das erste Mal, dass ein Fehler im System für SSL-Zertifikate entdeckt wurde. Erst letzte Woche warnte Microsoft vor einem gefälschten SSL-Zertifikat. Der US-Auslandsgeheimdienst National Security Agency soll nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet haben. Zudem waren im August 2011 nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht, die benutzt worden waren, um Google-Kunden im Iran auszuspähen.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…