Google erstellt eine neue Liste über die Vertrauenswürdigkeit von Zertifikatsanbietern

(Screenshot: Übergizmo)

Google stellt eine Liste zusammen, welche Auskunft über die Vertrauenswürdigkeit von Zertifikatsanbietern gibt. Das Ganze entsteht im Rahmen Certificate Transparency (CT). Auf der Liste können Certificate Authorities (CAs) stehen, in welche Google das Vertrauen verloren hat. Aber auch neue Anbieter, bei denen sich noch die Vertrauenswürdigkeit zeigen wird, stehen auf der Liste.

Google hat angekündigt, wieder eine Liste zu nicht vertrauenswürdigen Zertifikatsanbietern zusammenzustellen. Es wäre problematisch gewesen, diese Anbietergruppen in einem Verzeichnis vertrauenswürdiger Aussteller mit aufzunehmen, führt Softwareentwickler Martin Smith in einem Blogeintrag aus.

Als Gründe dafür nennt er etwa Ungewissheiten hinsichtlich von Ungültigkeitserklärungen oder mögliche Cross-Signing-Angriffe durch böswillige Dritte. Zweifellos nützlich aber sei, die Aktivitäten dieser Zertifikatsanbieter im Blickfeld zu behalten. Der Browser Chrome wird demnach den dort aufgeführten Anbietern nicht vertrauen und Zertifikate erkennbar machen, die Google nicht als vertrauenswürdig einstuft.

Der Internetkonzern reagiert damit offenbar auf verschiedene Vorfälle im letzten Jahr. So hatte das China Internet Network Information Center (CNNIC) als zentrale Ausgabestelle für Root-Zertifikate Chinas indirekt die missbräuchliche Ausgabe von SSL-Zertifikaten für mehrere Google-Domains ermöglicht. Es hatte sie zwar nicht selbst ausgestellt, aber das ägyptische Unternehmen MCS (Mideast Communication Systems) als Zwischen-Zertifizierer autorisiert.

(Bild: Shutterstock/Cousin_Avi)

Angreifer hätten sich so als Google-Site ausgeben können. Der Fehler lag zwar letztlich bei MCS, Google wies dem CNNIC aber die Schuld zu, „einem offenbar ungeeigneten Unternehmen bedeutende Autorität übertragen“ zu haben. Google entschied daraufhin, dass Google-Produkte künftig weder CNNIC-Root- noch Extended-Validation-Zertifikate akzeptieren sollten.

Vertrauen verspielt hat aber auch Symantec, das die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen musste. Die Sicherheitsfirma entließ zwar dafür verantwortliche Mitarbeiter und betonte, die Zertifikate seien nur für interne Testzwecke genutzt worden. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Aufgrund dieses Risikos entzog Google in Chrome und Android zwei von Symantec genutzten Verisign-Root-Zertifikaten das Vertrauen.

Schon 2013 sorgten von einer französischen Regierungsbehörde gefälschte Zertifikate von Google-Domains für Verärgerung. Sie wurden von einer Intermediate Certificate Authority ausgestellt, die wiederum auf die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) verwies – eine dem französischen Präsidenten unterstehende Behörde für die Sicherheit von Informationssystemen. Google zufolge wurden die Zertifikate benutzt, um in einem privaten Netzwerk den verschlüsselten Datenverkehr zu überwachen.

Die neue Liste ist über ct.googleapis.com/submariner zugänglich und auf der Known-Logs-Seite aufgeführt. Sie ist über dieselbe API wie die bestehenden Listen ansprechbar. Vorschläge für die Aufnahme weiterer Zertifikatsanbieter sind willkommen.

Tags :Via:Mit Material von Bernd Kling, ZDnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising