7 Reaktionen

Gefälschtes Zertifikat: Mozilla entzieht TürkTrust das Vertrauen

Geschätzte Lesedauer:

Wieder einmal gibt es Ärger mit gefälschten Sicherheits-Zertifikaten. Mozilla reagiert hierauf und entzieht der Zertifizierungsstelle TürkTrust das Vertrauen.

Bei einem digitalen Zertifikat handelt es sich vereinfacht gesagt um eine Art digitale Signatur, um die Identität einer Webseite zu verifizieren. Diese Zertifikate werden von einer Zertifizierungsstelle ausgestellt, welche für die Identität der jeweiligen Webseite bürgt. Firefox wie auch die anderen Browser beinhalten von Haus aus eine ganze Reihe von Root-Zertifikaten.

Am 24. Dezember 2012 hat Google ein nicht autorisiertes Zertifikat für die Domain *.google.com entdeckt und in Chrome blockiert. Dieses Zertifikat wurde von einer Zwischenzertifizierungsstelle ausgestellt, welche auf TürkTrust zurückzuführen ist. Zwischenzertifizierungsstellen genießen die volle Autorität der übergeordneten Zertifizierungsstelle, so dass diese dazu genutzt werden können, um Zertifkate für jede Webseite auszustellen, als welche man sich ausgeben möchte. Daraufhin hat man bei TürkTrust festgestellt, dass man im August 2011 fälschlicherweise zwei Zwischenzertifikate an Organsiationen ausgestellt hatte, welche stattdessen reguläre SSL-Zertifikate hätten erhalten sollen. Mit einem dieser beiden wurde ein gefälschtes Zertifikat für die Domain *.google.com ausgestellt, welches für sogenannte Man-in-the-Middle-Angriffe auf Google-Dienste genutzt wird.

Mozilla wird kommenden Dienstag, den 08. Januar 2013, Firefox 18 veröffentlichen, welcher kein Root-Zertifikat von TürkTrust mehr beinhaltet.

Weitere Informationen:

Mozilla Security Blog
Google Online Security Blog

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

6 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Hubertus Hilgers
    schrieb am :

    Hallo,

    besteht die Möglichkeit dieses Zertifikat evt. selbst manuell zu sperren oder das Vertrauen zu entziehen?

  2. nik22
    schrieb am :

    @Hubertus Hilgers: Ja, das ist in den Einstellungen unter „Erweitert->Verschlüsselung->Zertifikate anzeigen“ möglich.

     

    Was mich interessieren würde, was hindert Mozilla daran CAcert zu importieren?

  3. juanjo
    schrieb am :

    Hallo ,

    Ich rufe meine E-Mail mit TB version 17.0 und möchte das wenn die E_mails auf mein Posteingang bei TB dann automatisch die auf dem server vom anbiter gelöscht werden.mein anbieter ist kabelbw.Welche einstellungen muss ich dazu führen damit des funktioniert.

    gruß Jay

  4. schrieb am :

    Dieses ganze SSL-CA System ist so im Eimer. Der ganze misst gehört abgeschafft. Die Verschlüsselung kann ja bleiben, aber die Validierung macht schon seit Jahren nur Probleme, weil die Aussteller ständig solchen Misst bauen.

    Ich empfehle da: https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/?src=ss.

     

    Damit kann man überwachen ob, das Cert mit dem man den Handshake macht noch das gleiche ist wie beim letzten mal oder ob es sich geändert hat.

  5. tom
    schrieb am :

    she ich es falsch oder sind in der version 18 und 17.0.2esr die zertifikate noch vorhanden *wirr*

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @nik22: http://wiki.cacert.org/InclusionStatus sagt:
    Stalled – Awaiting audit to meet policy

    Inwieweit dieser Status aktuell ist und was er konkret für Mozilla bedeutet, kann ich dir nicht sagen.

    @juanjo: Könntest du die Frage bitte im Forum thunderbird-mail.de/forum, hier per Kontaktformular oder zumindest in einem Thunderbird-Artikel dieser Seite stellen? Hier geht es um etwas vollkommen anderes, das ist nicht der richtige Ort zur näheren Befassung mit deinem Problem. Würde nur ungerne unter diesem Artikel fünf Kommentare zu Thunderbird haben, das macht’s schwierig, über das eigentliche Thema zu diskutieren. Vielen Dank für dein Verständnis.

    @tom: Kann ich bestätigen. Hat auch schon jemand im Mozilla Security Blog angemerkt. Muss man mal verfolgen…

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.