28.10.2011 00:07
Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern
Der steile Anstieg der ungültig erklärten Zertifikate ist unter anderem auf den verstärkten Einsatz von Verschlüsselung zurückzuführen.
Bild: Electronic Frontier Foundation (EFF)
In einem Hintergrundartikel zur Sicherheit von SSL konstatiert Peter Ecklersley von der Electronic Frontier Foundation, dass in den letzten vier Monaten mindestens vier Certificate Authorities (CAs) kompromittiert wurden. Ecklersley extrahierte diese Information aus den von den CAs veröffentlichten Sperrlisten für Zertifikate.
Diese sogenannten Certificate Revocation Lists (CRL) enthalten Zertifikate, die nicht mehr als gültig erachtet werden sollen. Herausgeber sperren Zertifikate aus verschiedenen Gründen – etwa weil der Kunde einen Geschäftsbereich aufgegeben hat (Cessation of operation) oder ihm der geheime Schlüssel abhanden kam (Key Compromise). Spannend sind die insgesamt 248 Fälle, in denen der der Herausgeber der CRL als Begründung angab, dass die zuständige Certificate Authority kompromittiert wurde. Bis Juni 2011 war das nur bei 55 Zertifikaten der Fall. Diese fast zweihundert, zwischenzeitlich gesperrten Zertifikate wurden von vier verschiedenen CAs ausgestellt.
Das sind also mindestens vier CAs, die innerhalb von nur 4 Monaten geknackt wurden, um missbräuchlich falsche Zertifikate auszustellen. Und diese Zahl ist nur eine untere Grenze. In der großen Mehrzahl der Fälle – insgesamt über 900.000 Mal – zog es der Herausgeber der CRL vor, das Begründungsfeld leer zu lassen. Das Problem mit solchen Einbrüchen bei CAs ist, dass jeder der akzeptierten Zertifikatsherausgeber Zertifikate für jede Web-Seite ausstellen kann. Browser werden sie klaglos schlucken – für Google-Mail genauso wie für das Online-Banking der Deutschen Bank. Und laut SSL Observatory vertrauen unsere Browser insgesamt über 600 CAs (PDF) in mehr als 50 Ländern.
Update: Die EFF hat einen Fehler in der Auswertung der CRLs festgestellt und die Anzahl der kompromittierten CAs von 5 auf 4 korrigiert (siehe: Update 10/27/2011) . Wir haben diese Änderung ebenfalls durchgeführt.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
