CNNIC signiert falsche Google-Zertifikate

Den neusten Informationen zur Folge sind erneut Probleme mit gefälschten Zertifikaten aufgetreten: Der Suchmaschinenriese Google ist auf gefälschte Zertifikate gestoßen. Die chinesische Zertifizierungsstelle CNNIC signierte Zertifikate für Google und verschiedene weitere Domains, die von der Zwischen-Zertifizierungsstelle MCS Holdings ausgestellt wurden. Das Problem dabei: Sämtliche gängigen Browser und zahlreiche Betriebssysteme akzeptieren Zertifikate der CA CNNIC.

Man-in-the-Middle-Proxy: Das kann schnell schief gehen

Der Zwischenzertifizierer MCS stammt aus Ägypten und offeriert verschiedene Dienstleistungen rund um Netzwerke. Unter anderem betreibt das Unternehmen einen Man-in-the-Middle-Proxy. Mit einer solchen Proxy-Lösung ist es möglich, neue Zertifikate für jeden Zugriff auf HTTPS-Webseiten live zu erstellen und zu signieren. Normalerweise sind derartige Proxies darauf ausgelegt, das passende SSL-Zertifikat im Browser zu installieren. Dies umging MCS offenbar und erstellte SSL-Zertifikate, die von sämtlichen gängigen Browsern angenommen werden.

Dieses Vorgehen bricht die Regeln für Zertifizierungsstellen sehr schwerwiegend auf: MCS agierte wie eine öffentliche Zertifizierungsstelle und installierte den Private-Key auf dem Man-in-the-Middle-Proxy. Dieser Vorfall beweist einmal mehr, dass Sie ausschließlich bei Extended Validation-Zertifikaten absolut auf Nummer Sicher gehen können, da die Validierung sehr umfangreich ausfällt und gefälschte Zertifikate aufgrund der ausgiebigen Prüfung nicht vorkommen können. Dies gilt auch für den jüngst bekannt gewordenen Fall, als es einem Finnen gelang, Microsoft-Zertifikate zu fälschen.

Die nächsten Schritte: MCS-Zertifikat gesperrt

Google hat umgehend reagiert und das MCS-Zertifikat über die hauseigene CRLset-Technologie gesperrt, Mozilla kündigte bereits an, mit dem kommenden Update ebenfalls zu sperren. Google mutmaßt auf Twitter, dass MCS den Proxy ausschließlich für den internen Datenverkehr genutzt hat. Unklar bleibt jedoch, warum CNNIC, eine dem chinesischen Informationsministerium unterstellte Organisation, ein Zertifikat für einen Telekommunikationskonzern aus Ägypten ausgestellt hat. Als CNNIC seinerzeit durch gängige Browser als CA aufgenommen werden sollte, sorgte das durchaus für Diskussionen.

Google erklärte weiter, dass die aktuellen Chrome- und Firefox-Versionen das gefälschte Zertifikat ohnehin nicht akzeptiert hätten, da dort Key Pinning Einsatz findet: Die HTTP-Erweiterung soll die Sicherheit von HTTPS-Zertifikaten optimieren. Webseitenbetreiber können via HTTP-Header einen Pin mitsenden. Dieser Pin beinhaltet neben einem Zeitwert auch Hashes kryptografischer Schlüssel. Unterstützt ein Browser das Pinning, werden diese Informationen abgespeichert und fortan nur jene Verbindungen akzeptiert, bei denen Zertifikate den gepinnten Schlüssel nutzen. Eine ausführliche Beschreibung des Key Pinnings können Sie bei Golem nachlesen.

Wie Sie mit unsicheren Zertifikaten umgehen können

Die Vorfälle der jüngsten Zeit zeigen: Sie können sich nur mit EV- oder erkennbaren OV-Zertifikaten sicher fühlen. Schon auf vielen Rechnern befinden sich unsichere SSL-Zertifikate, die Sie entsorgen sollten. In einem ersten Schritt überprüfen Sie, ob verdächtige Programme dazugehörige SSL-Zertifikate eingeschleust haben. Ihre Security-Suite kann Lauschprogramme finden, wenn sie über dieses Feature verfügt; alternativ können Sie Ihren Rechner auf superfish.tlsfun.de auf Lauschsoftware scannen. Sind Sie fündig geworden, notieren Sie sich den Namen des Herstellers und des Programms, gehen als Windows 8.1-Nutzer in die linke untere Bildschirmecke und klicken mit der rechten Maustaste. Wählen Sie im Kontextmenü „Programme und Features“ aus und deinstallieren Sie die Programme, die Sie vorher notiert haben.

Nun kümmern wir uns um die SSL-Zertifikate, die Sie manuell löschen müssen: Drücken Sie unter Windows 8.1 auf Ihrer Tastatur die Windows-Taste + R und geben Sie „certmgr.msc“ ins „Ausführen“-Fenster ein. Bestätigen Sie, öffnet sich der Windows Zertifikate-Manager. Sie finden ein bestimmtes Zertifikat, indem Sie links „Zertifikate – Aktueller Benutzer“ markieren und in der Menüleiste „Aktion/Zertifikate suchen“ anklicken. Geben Sie nun ins Eingabefenster den Suchbegriff ein. In der Suchergebnisliste können Sie das ausgewählte SSL-Zertifikat doppelklicken, um Details zu erfahren. Ist das SSL-Zertifikat unsicher, löschen Sie es.

Update: Google verbannt CNNIC aus eigenen Programmen

In einem Nachtrag zu seinem Blogbeitrag zum Thema CNNIC signiert falsche Zertifikate erklärt Google nun, dass sämtliche Root- sowie EV-Zertifikate von CNNIC aus der kompletten Google-Software verbannt werden. Im kommenden Chrome-Update wird diese Neuerung bereits enthalten sein. Da es jedoch auch Anwender gibt, die CNNIC-Zertifikate benötigen, soll eine Whitelist über einen begrenzten Zeitraum hinweg dafür sorgen, dass diese SSL-Zertifikate als vertrauenswürdig angesehen werden. Google sieht die Voraussetzung dafür, dass CNNIC erneut als vertrauenswürdige Zertifizierungsstelle aufgenommen wird, dann erfüllt, wenn die chinesische Zertifizierungsstelle mehr Transparenz an den Tag legt. Für CNNIC eine inakzeptable Entscheidung: in einer kurzen Mitteilung erklärt die chinesische CA, man wolle für die Rechte sowie Interessen der User eintreten und dafür müsse auch Google seinen Beitrag leisten.