08.02.2012 15:45
Mozilla erwägt Rauswurf der Trustwave CA
Aus Empörung über das von Trustwave ausgestellte Schnüffel-Zertifikat erstellte heise-Security-Leser Sebastian Wiesinger einen Eintrag in Mozillas Fehlerdatenbank, der die Entfernung des Root-Zertifikats von Trustwave aus allen Mozilla Produkten fordert. Die zuständige Mozilla-Mitarbeiterin Kathleen Wilson hat den Eintrag akzeptiert und eine Stellungnahme von Trustwave eingefordert. Deren Kontaktperson Brian Trzupek hat bereits weitere Informationen angekündigt, die allerdings noch auf eine interne Freigabe warten.
Gestern berichtete heise Security über den ersten bekannt gewordenen Fall, dass ein allgemein akzeptierter Zertifikatsherausgeber ein Herausgeberzertifikat für Überwachungszwecke verkauft hatte. Trustwave versichert zwar, dass es nur diesen einen Fall gegeben habe, jeglicher Missbrauch ausgeschlossen gewesen und dieses Zertifikat auch bereits wieder gesperrt worden sei. Kritiker sehen jedoch trotzdem die Policy verletzt, zu deren Einhaltung sich die Herausgeber verpflichten müssen. Sie besagt unter anderem, dass sie nicht wissentlich Zertifikate ausstellen dürfen, ohne dass die darin aufgeführten Entitäten davon Kenntnis haben.
Interessant in diesem Zusammenhang ist auch, dass Trustwave seine Vorgehensweise als gängige Praxis bei vielen CAs darstellt. Die Firma Symantec, die mit Verisign den größten Zertifikatsherausgeber aufgekauft hat und einer der großen Anbieter von Data Loss Prevention Lösungen ist, fand jedoch bislang keine Möglichkeit, auf die gestern noch vor Erscheinen des Artikels gestellten Fragen zu diesem Thema zu antworten.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
