Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Falsche Google-Zertifikate signiert: PSW GROUP rät zu Extended Validation-Zertifikaten

Falsche Google-Zertifikate signiert: PSW GROUP rät zu Extended Validation-Zertifikaten

Archivmeldung vom 01.04.2015

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 01.04.2015 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Bild: Gerd Altmann / pixelio.de
Bild: Gerd Altmann / pixelio.de

Ein Zwischenzertifikat eines ägyptischen Telekommunikationskonzerns hat für Google unberechtigte Zertifikate ausgestellt. Signiert wurden sie von der chinesischen CNNIC-Zertifizierungsstelle. PSW GROUP, Full-Service Provider für Internetlösungen mit Schwerpunkt auf IT-Sicherheit, rät deshalb allen Webseitenbetreibern, ihre auf dem Rechner befindlichen SSL-Zertifikate schnellstmöglich zu überprüfen und unsichere Zertifikate zu entsorgen.

Der Telekommunikationsdienstleister, MCS Holdings, betreibt einen so genannten Man-in-the-Middle-Proxy. Diese Lösungen erstellen neue Zertifikate für jeden Zugriff auf https-Webseiten live und signieren diese. Normalerweise sind derartige Proxies darauf ausgelegt, das passende SSL-Zertifikat im Browser zu installieren. „Dies umging MCS offenbar und erstellte SSL-Zertifikate, die von allen gängigen Browsern angenommen werden. Damit bricht der Dienstleister die Regeln für Zertifizierungsstellen schwerwiegend. Denn er agierte wie eine öffentliche Zertifizierungsstelle und installierte den Private-Key auf dem Man-in-the-Middle-Proxy“, erläutert Christian Heutger, Geschäftsführer der PSW GROUP, das Problem.

Inzwischen hat Google das Zertifikat bereits gesperrt. Der IT-Sicherheitsexperte rät dennoch „Wer auf Nummer Sicher gehen möchte, sollte ausschließlich zu Extended Validation-Zertifikaten oder erkennbaren Organisationsvalidierten Zertifikaten greifen. Die Validierung, besonders bei Erstgenanntem ist sehr umfangreich, so dass gefälschte Zertifikate aufgrund der ausgiebigen Prüfung grundsätzlich nicht vorkommen.

Aus gegebenem Anlass sollten Webseitenbetreiber dennoch prüfen, ob verdächtige Programme dazugehörige SSL-Zertifikate eingeschleust haben. Die auf dem Rechner installierte Security-Suite kann Lauschprogramme finden, wenn sie über dieses Feature verfügt. Alternativ kann der Rechner auf superfish.tlsfun.de auf Lauschsoftware gescannt werden. „Microsoft-Nutzer, die fündig geworden sind, sollten sich den Namen des Herstellers und des Programms notieren und die Zertifikatsverwaltung öffnen. In wenigen Schritten können Windows 8.1-Anwender dann betreffende Zertifikate deinstallieren. Das funktioniert übrigens ganz einfach: Über die Startfläche das Kontextmenü „Programme und Features“ auswählen und das zuvor notierte Programm deinstallieren“, erklärt Heutger.

Einige SSL-Zertifikate müssen manuell gelöscht werden: Nutzer von Windows 8.1 drücken dafür auf ihrer Tastatur die Tastenkombination aus Windows-Taste + R und geben „certmgr.msc“ in das „Ausführen“-Fenster ein. Nach Bestätigung öffnet sich der Windows Zertifikate-Manager. Ein bestimmtes Zertifikat lässt sich nun finden, indem links „Zertifikate – Aktueller Benutzer“markiert und in der Menüleiste „Aktion/Zertifikate suchen“ angeklickt wird. Im Eingabefenster kann nun der Suchbegriff eingegeben werden. In der Suchergebnisliste anschließend nur noch das ausgewählte SSL-Zertifikat doppelklicken, um Details zu erfahren. Ist das SSL-Zertifikat unsicher, kann es gelöscht werden.

Weitere Informationen unter: https://www.psw-group.de/blog/cnnic-signiert-falsche-google-zertifikate/2112

Quelle: PSW GROUP

Anzeige: