Neues SSL-Problem

Erschlichenes SSL-Zertifikat zwingt zu Updates

Wie in verschiedenen Blogs berichtet wird, ist es der Iranischen Regierung offensichtlich gelungen, ein SSL-Zertifikat des holländischen Unternehmens DigiNotar zu erschleichen. Dieses Zertifkat war für alle google.com-Domains gültig. Somit bestand auch die Möglichkeit, verschlüsselte Nachrichten auf google-mail zu entschlüsseln. Die führenden Browser-Hersteller haben das kompromittierte Zertifikat bereits gesperrt.

News
Google Mail
Google Mail
© google

Aufgefallen ist das Problem offenbar durch die Nutzung des Google-Browsers Chrome. Dieser hat seit einiger Zeit eine zusätzliche Prüfung implementiert, die nicht nur das Zertifikat selber prüft, sondern auch, ob es dem richtigen Aussteller zugeordnet ist. Durch diese Gegencheck des CA konnte ein google-Mail-Nutzer, der als Aufenthaltsort den Iran angibt, den Zertifikatsfehler entdecken und melden. Damit schien es klar zu sein, dass die iranische Regierung über das gekaperte Zertifikat den Emailverkehr über Googlemail überwachen konnte.

In den meisten Fällen ist das kompromittierte Zertifikat bereits unschädlich gemacht. So hat es Microsoft aus der Windows-Certificate Trust List gelöscht. Auch Google hat den Bereich von DigiNotar bereits als nicht vertrauenswürdig definiert. Ebenso haben Mozilla, Firefox, Sea Monkey und Thunderbird bereits nachgezogen oder werden dies beim nächsten Update tun. Auf der Mozilla/Firefox Help-Seite gibt es Anleitungen, wie das unsichere Zertifikat händisch entfernt werden kann.

31.8.2011 von Joachim Drescher

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…