Freigeben über

[Update] Sicherheitsempfehlung: Gefälschte SSL-Zertifikate im Umlauf

  • Artikel

Microsoft hat eine Sicherheitsempfehlung
veröffentlicht, die sich auf die bekannt gewordenen Probleme mit SSL-Zertifikaten
bezieht. Microsoft wurde von Comodo, einem
Austeller von digitalen Zertifikaten, über neun bösartig manipulierte und von
Comodo ausgestellte Zertifikate informiert. Comodo gehört zu den
Zertifizierungsstellen, die in allen derzeit unterstützten Versionen von
Windows zum Trusted Root Certification Authorities Store gehören. Es liegt also
keine Schwachstelle in Windows vor, sondern ein Problem bei der
Zertifizierungsstelle.

 

[Update: Comodo hat inzwischen in einem Blog-Beitrag weitere Details zum Einbruch veröffentlicht; unter anderem wird ein möglicher Bezug zu den Unruhen in Nordafrika hergestellt].

Microsoft hat ein Sicherheitsupdate (Hinweis:
Die Überschrift des deutschen Knowledge-Base-Eintrags ist leider falsch
übersetzt; die Updates beziehen sich aber auf das aktuelle Zertifikatsproblem) veröffentlicht,
das die betroffenen Zertifikate in Windows sperrt. Das Update sollte
automatisch über Windows Update verteilt werden, so dass Anwender keine
gesonderten Schritte unternehmen müssen.

Comodo hat Microsoft am 16. März davon in Kenntnis gesetzt,
dass neun Zertifikate im Namen eines Dritten ausgestellt wurde, ohne dass
dieser ordentlich identifiziert wurde. Mit diesen Zertifikaten könnten
Angreifer Phishing-Attacken verüben, Anwender per DNS-Poisoning –
beispielsweise in Internet-Cafes oder öffentlichen WLAN-Hotspots – auf die
bösartig manipulierten Webseiten locken, gefälschte Inhalte verbreiten oder
Man-in-the-Middle-Angriffe gegen Nutzer von Webbrowsern wie dem Internet
Explorer reiten.

Zertifikate für die folgenden Webseiten sind betroffen:

  • login.live.com

  • mail.google.com

  • www.google.com

  • login.yahoo.com (drei Zertifikate)

  • login.skype.com

  • addons.mozilla.org

  • "Global Trustee"

 

Comodo hat diese Zertifikate wenige Stunden nach deren
Erzeugung widerrufen und sie in die aktuelle Certificate Revocation List (CRL,
Zertifikatssperrliste) aufgenommen. Darüber hinaus überpfüfen Browser, bei
denen das Online Certificate Status Protocol (OCSP) aktiviert ist, diese
Zertifikate und blockieren ihre Verwendung.

Eine ausführliche Beschreibung der Hintergründe liefert der
Tor-Entwickler Jacob Appelbaum in
einem Blog-Beitrag.