Blog

Gefälschtes Zertifikat: Mozilla entzieht TürkTrust das Vertrauen

Verfasst von: Sören Hentzschel

Gefälschtes Zertifikat: Mozilla entzieht TürkTrust das Vertrauen

Wieder einmal gibt es Ärger mit gefälschten Sicherheits-Zertifikaten. Mozilla reagiert hierauf und entzieht der Zertifizierungsstelle TürkTrust das Vertrauen.

Bei einem digitalen Zertifikat handelt es sich vereinfacht gesagt um eine Art digitale Signatur, um die Identität einer Webseite zu verifizieren. Diese Zertifikate werden von einer Zertifizierungsstelle ausgestellt, welche für die Identität der jeweiligen Webseite bürgt. Firefox wie auch die anderen Browser beinhalten von Haus aus eine ganze Reihe von Root-Zertifikaten.

Am 24. Dezember 2012 hat Google ein nicht autorisiertes Zertifikat für die Domain *.google.com entdeckt und in Chrome blockiert. Dieses Zertifikat wurde von einer Zwischenzertifizierungsstelle ausgestellt, welche auf TürkTrust zurückzuführen ist. Zwischenzertifizierungsstellen genießen die volle Autorität der übergeordneten Zertifizierungsstelle, so dass diese dazu genutzt werden können, um Zertifkate für jede Webseite auszustellen, als welche man sich ausgeben möchte. Daraufhin hat man bei TürkTrust festgestellt, dass man im August 2011 fälschlicherweise zwei Zwischenzertifikate an Organsiationen ausgestellt hatte, welche stattdessen reguläre SSL-Zertifikate hätten erhalten sollen. Mit einem dieser beiden wurde ein gefälschtes Zertifikat für die Domain *.google.com ausgestellt, welches für sogenannte Man-in-the-Middle-Angriffe auf Google-Dienste genutzt wird.

Mozilla wird kommenden Dienstag, den 08. Januar 2013, Firefox 18 veröffentlichen, welcher kein Root-Zertifikat von TürkTrust mehr beinhaltet.

Weitere Informationen:

Mozilla Security Blog
Google Online Security Blog

9


Kommentare

  1. Hubertus Hilgers  04. Januar 2013, 10:08

    Hallo,

    besteht die Möglichkeit dieses Zertifikat evt. selbst manuell zu sperren oder das Vertrauen zu entziehen?

  2. nik22  04. Januar 2013, 12:32

    @Hubertus Hilgers: Ja, das ist in den Einstellungen unter “Erweitert->Verschlüsselung->Zertifikate anzeigen” möglich.

     

    Was mich interessieren würde, was hindert Mozilla daran CAcert zu importieren?

  3. juanjo  04. Januar 2013, 15:40

    Hallo ,

    Ich rufe meine E-Mail mit TB version 17.0 und möchte das wenn die E_mails auf mein Posteingang bei TB dann automatisch die auf dem server vom anbiter gelöscht werden.mein anbieter ist kabelbw.Welche einstellungen muss ich dazu führen damit des funktioniert.

    gruß Jay

  4. claw  04. Januar 2013, 20:56

    Dieses ganze SSL-CA System ist so im Eimer. Der ganze misst gehört abgeschafft. Die Verschlüsselung kann ja bleiben, aber die Validierung macht schon seit Jahren nur Probleme, weil die Aussteller ständig solchen Misst bauen.

    Ich empfehle da: https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/?src=ss.

     

    Damit kann man überwachen ob, das Cert mit dem man den Handshake macht noch das gleiche ist wie beim letzten mal oder ob es sich geändert hat.

  5. tom  09. Januar 2013, 10:19

    she ich es falsch oder sind in der version 18 und 17.0.2esr die zertifikate noch vorhanden *wirr*

  6. Sören Hentzschel  10. Januar 2013, 15:58

    @nik22: http://wiki.cacert.org/InclusionStatus sagt:
    Stalled – Awaiting audit to meet policy

    Inwieweit dieser Status aktuell ist und was er konkret für Mozilla bedeutet, kann ich dir nicht sagen.

    @juanjo: Könntest du die Frage bitte im Forum thunderbird-mail.de/forum, hier per Kontaktformular oder zumindest in einem Thunderbird-Artikel dieser Seite stellen? Hier geht es um etwas vollkommen anderes, das ist nicht der richtige Ort zur näheren Befassung mit deinem Problem. Würde nur ungerne unter diesem Artikel fünf Kommentare zu Thunderbird haben, das macht’s schwierig, über das eigentliche Thema zu diskutieren. Vielen Dank für dein Verständnis.

    @tom: Kann ich bestätigen. Hat auch schon jemand im Mozilla Security Blog angemerkt. Muss man mal verfolgen…

  7. Kristian  11. Januar 2013, 11:41

    Zur Vervollständigung: in der Aurora 19.0a2 vom Montag ist Turktrust auch immer noch drin.

  8. Reni  15. Juli 2013, 08:08

    Auch in Version 22 ist Türk Trust fröhlich enthalten!!!

Kommentar hinzufügen

E-Mail-Benachrichtigung bei weiteren Kommentaren.