Menü
Security

Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern

vorlesen Drucken Kommentare lesen 116 Beiträge

Der steile Anstieg der ungültig erklärten Zertifikate ist unter anderem auf den verstärkten Einsatz von Verschlüsselung zurückzuführen.

(Bild: Electronic Frontier Foundation (EFF))

In einem Hintergrundartikel zur Sicherheit von SSL konstatiert Peter Ecklersley von der Electronic Frontier Foundation, dass in den letzten vier Monaten mindestens vier Certificate Authorities (CAs) kompromittiert wurden. Ecklersley extrahierte diese Information aus den von den CAs veröffentlichten Sperrlisten für Zertifikate.

Diese sogenannten Certificate Revocation Lists (CRL) enthalten Zertifikate, die nicht mehr als gültig erachtet werden sollen. Herausgeber sperren Zertifikate aus verschiedenen Gründen – etwa weil der Kunde einen Geschäftsbereich aufgegeben hat (Cessation of operation) oder ihm der geheime Schlüssel abhanden kam (Key Compromise). Spannend sind die insgesamt 248 Fälle, in denen der der Herausgeber der CRL als Begründung angab, dass die zuständige Certificate Authority kompromittiert wurde. Bis Juni 2011 war das nur bei 55 Zertifikaten der Fall. Diese fast zweihundert, zwischenzeitlich gesperrten Zertifikate wurden von vier verschiedenen CAs ausgestellt.

Das sind also mindestens vier CAs, die innerhalb von nur 4 Monaten geknackt wurden, um missbräuchlich falsche Zertifikate auszustellen. Und diese Zahl ist nur eine untere Grenze. In der großen Mehrzahl der Fälle – insgesamt über 900.000 Mal – zog es der Herausgeber der CRL vor, das Begründungsfeld leer zu lassen. Das Problem mit solchen Einbrüchen bei CAs ist, dass jeder der akzeptierten Zertifikatsherausgeber Zertifikate für jede Web-Seite ausstellen kann. Browser werden sie klaglos schlucken – für Google-Mail genauso wie für das Online-Banking der Deutschen Bank. Und laut SSL Observatory vertrauen unsere Browser insgesamt über 600 CAs (PDF) in mehr als 50 Ländern.

Update: Die EFF hat einen Fehler in der Auswertung der CRLs festgestellt und die Anzahl der kompromittierten CAs von 5 auf 4 korrigiert (siehe: Update 10/27/2011) . Wir haben diese Änderung ebenfalls durchgeführt. (ju)