Gewissenskonflikt: Überwachungsfirma will auf Mozillas Zertifikat-Whitelist

Ein entsprechender Antrag liegt Mozilla schon seit Wochen vor. Firefox vertraut grundsätzlich allen TLS-Zertifikaten, sobald ein Root-Zertifikat des Ausstellers auf der Whitelist steht. Die in den Vereinigten Arabischen Emiraten ansässige Firma DarkMatter ist jedoch in staatliche Spionage verwickelt.

Die in Vereinigten Arabischen Emiraten (VAE) ansässige Cyber-Security-Firma DarkMatter, die ihre Dienste auch als repressiv eingestuften Regierungen im arabischen Raum anbietet, hat bei Mozilla die Registrierung als vertrauenswürdiger Aussteller von HTTPS-Zertifikaten beantragt. Einerseits ist das Unternehmen aufgrund seines Geschäftsmodells, zudem eben auch staatliche Spionage gehört, höchst umstritten. Andererseits beruft es sich auf seinen einwandfreien Ruf als Certificate Authority.

Verschlüsselung (Bild: Shutterstock)Vor einigen Monaten reichte DarkMatter einen Fehlerbericht für den Mozilla-Browser Firefox ein. Darin bittet das Unternehmen um Aufnahme seines Root-Zertifikats in den Certificate Store von Firefox. Dabei handelt es sich um eine interne Whitelist von vertrauenswürdigen Zertifizierungsstellen für digitale Zertifikate (Certificate Authority, CA).

CAs wiederum sind geprüfte Unternehmen oder Organisationen, die TLS-Zertifikate ausstellen, die unter anderem für die verschlüsselte HTTPS-Kommunikation verwendet werden.

Mozilla wiederum nutzt den Certificate Store seines Browsers, um zu prüfen, ob ein TLS-Zertifikat einer Website vertrauenswürdig ist, bevor Firefox den Inhalt einer verschlüsselten Website lädt. Ähnlich verfahren auch Apple, Google und Microsoft mit ihren Browsern und Betriebssystemen: alle Zertifikate von Organisationen, die über ein registriertes Root-Zertifikat verfügen, werden automatisch als vertrauenswürdig eingestuft.

Im Fall von DarkMatter würde das bedeuten, dass seine Zertifikate ebenfalls stets als vertrauenswürdig angesehen würden. Auch Antivirensoftware würde Anwendungen vertrauen, die von DarkMatter signiert wurden – also möglicherweise auch Spionage-Apps des Unternehmens.

DarkMatter betont, dass es nie auch nur ein einziges TLS-Zertifikat missbraucht habe. Von daher gebe es keinen Grund, dass Unternehmen anders zu behandeln als andere CAs, die die Registrierung ihres Root-Zertifikats für den Certificate Store von Firefox beantragt hätten. Kritik kommt indes von Organisationen wie der Electronic Frontier Foundation (EFF) und Amnesty International. „Angesichts des geschäftlichen Interesses von DarkMatter, TLS-Kommunikation abzufangen, scheint es eine sehr schlechte Idee zu sein, sie zu einer vertrauenswürdigen Root-Liste hinzuzufügen“, sagte Cooper Quintin von der Electronic Frontier Foundation.

In einem Eintrag im EFF-Blog weist er zudem auf Mozillas Erfahrungen mit CNNIC, der staatlichen Zertifizierungsstelle der chinesischen Regierung hin. Ihr Rootzertifikat sei 2009 akzeptiert worden. 2015 sei dann ein Missbrauch festgestellt worden, der es Behörden des Landes erlaubt habe, für Google gedachten Traffic abzufangen.

Derzeit ist es DarkMatter bereits möglich, TLS-Zertifikate über eine Tochter von DigiCert auszustellen. Dabei soll es bereits zu Unregelmäßigkeiten gekommen sein, die offenbar auf technischen Problemen basierten. Ein offener Missbrauch wurde bisher nicht nachgewiesen. Nicht näher genannte Mozilla-Mitarbeiter erklärten gegenüber ZDNet USA, Mozilla prüfe den Antrag von DarkMatter noch. Von DarkMatters Geschäftsmodell soll Mozilla indes erst im Januar über einen Bericht der Agentur Reuters erfahren haben. Daraufhin soll Mozilla eine neue Diskussion auf Google Groups gestartet haben, um mehr Rückmeldungen aus der Community zu erhalten. Die dort geäußerte Kritik soll Mozilla wahrscheinlich als Grund nutzen, um den Antrag von DarkMatter abzulehnen.

„Die Mozilla-Root-Store-Richtlinie gewährt uns das Ermessen, Maßnahmen zu ergreifen, die auf dem Risiko für Personen basieren, die unsere Produkte verwenden. Trotz des Fehlens direkter Beweise für einen Missbrauch durch DarkMatter kann dies ein Zeitpunkt sein, an dem wir unser Ermessen nutzen sollten, um im Interesse von Personen zu handeln, die sich auf unseren Root-Speicher verlassen“, teilte Mozilla mit.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.


Korrektur: Die Firma Dark Matter hat ihren Sitz in den Vereinigten Arabischen Emiraten und nicht wie ursprünglich in dem Artikel behauptet in Saudi Arabien.

Themenseiten: Browser, Firefox, Mozilla, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Gewissenskonflikt: Überwachungsfirma will auf Mozillas Zertifikat-Whitelist

Kommentar hinzufügen
  • Am 26. Februar 2019 um 18:52 von Andreas

    Naja….. man könnte sich natürlich auch fragen, was amerikanische Root-Zertifikate dort in Morillas Zertifikat-Speicher zu suchen haben. das erhöht ja auch nicht gerade die Sicherheit. Aber man kann ja die unerwünschten Zertifikate löschen oder deren Vertrauen entziehen.

  • Am 26. Februar 2019 um 20:23 von Dennis

    Ich denke man sollte eine mehrstufige Liste führen. Standardmäßig sollte nur die Liste vertrauenswürdige Zertifikate aktiv sein. Wenn die Nutzer möchten dürfen sie dann auch Zertifikate von dubiosen Organisationen hinzu nehemen.

  • Am 27. Februar 2019 um 10:18 von ein Leser

    Hinweis: Die Firma DarkMatter sitzt nicht in Saudi Arabien, sondern in den Vereinigten Arabischen Emiraten.

    • Am 27. Februar 2019 um 10:24 von Kai Schmerer

      Danke für den Hinweis.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *