Diverse SSL-Zertifikate kompromittiert

Maximilian Schlafer
9 Kommentare

Wie bereits gestern einem Stellungnahme der Firma Comodo entnehmbar war, scheint der SSL-Zertifikats-Herausgeber „kompromittiert“ worden zu sein. Ein unbekannter Eindringling reichte über einen eigentlich authorisierten Zugangsweg Verifizierungsanträge für diverse SSL-Zertifikate von bereits bestehenden Webseiten ein.

Es waren dieser neun an der Zahl und umfassten die sieben folgende Domains addons.mozilla.org, login.skype.com, login.live.com, mail.google.com, www.google.com, login.yahoo.com – für diese Domain erfolgten gleich drei Einreichungen – sowie eine weitere nicht näher spezifizierte. Den Zugriff auf diesen Bereich verschaffte sich die betreffende Person über die Zugangsdaten eines Comodo-Partners in Südeuropa. Die IP-Adresse konnte einem im Iran gelegenen Service Provider zugeordnet, ein ausgestelltes Zertifikat ebenso auf einen iranischen Server zurückverfolgt werden. Dieser stellte übrigens kurz nach der Widerrufung des Zertifikates seine Aktivitäten ein. Über die Zahl der ausgestellten Zertifikate schweigt sich Comodo momentan aus, einzig die Existenz des obig genannten Zertifikates wurde bestätigt. Der ganze Vorfall soll sich am 15. März ereignet haben.

Da es möglich ist, mittels eines solchen Zertifikates nachgemachte Seiten, auf die man einen Nutzer umgeleitet hat, als authentisch erscheinen zu lassen, hat Comodo auch die Browserhersteller über dieses Ereignis informiert. Da eine Überprüfung durch den Browser selbst - so, wie von der SSL-Systematik eigentlich vorgesehen - aber mittels einer schlichten Blockade ebendieser durch die betreffende Seite selbst umgehbar ist – der Browser warnt in diesem Fall nicht – , implementierten sowohl Google als auch Mozilla und Microsoft entsprechende Updates in ihrer Produkte. In diesen sind die entsprechenden, von Comodo weitergegebenen, Seriennummern der Zertifikate statisch vorhanden und sollen so sicherstellen, dass derartiges Unbill von Nutzern ferngehalten werden kann.

Dass die Spuren in den Iran führen, wird von manchen schlicht als falsche Fährte, von anderen wiederum als Indiz dafür gesehen, dass die dortige Administration versucht, sich auf diesem Wege politischen Gegnern anzunehmen und deren Kommunikation zu stören. Diese Ansicht vertritt vor allem auch Comodo selbst und stützt sich dabei auf den Umstand, dass nur die iranische Regierung überhaupt den für eine solche Attacke notwendigen Zugang zu DNS-Servern habe und es sich zudem bei den betroffenen Domains um die von Social-Network-, VoIP- und Mail-Dienste handle, die ja, wie bei den Umstürzen in Nordafrika ersichtlich war, für ebensolche Vorhaben eine gute Koordinationsmethode darstellen.

  9 Kommentare
Themen:
  • Maximilian Schlafer E-Mail
    … ist die erste Anlaufstelle für alles, was Recht ist auf ComputerBase. Paragraphen haben es ihm angetan.
Quelle: Heise

Ergänzungen aus der Community

  • easy.2ci 24.03.2011 18:54
    Wird ein lokales iranisches Problem sein.

    Wenn ich login.live.com oder die anderen Seiten aufrufe dann gibt mir mein deutscher Provider samt deutschem DNS die IP zurück und so lande ich auf der richtigen Seite.

    Eine Kompromittierung geht nur, wenn ich auf die gefakte Webseite die das gefakte Zertifikat enthält geleitet werde und das passiert eben nicht, wenn ich keine iranischen DNS Server zur Namensauflösung nutze.


    @edit: Das Update für den IE wurde am 23.03. freigegeben und wurde per Windows Update bereits verteilt. Das Problem ist jedoch Browserspezifisch, daher gabs gestern ebenfalls den Firefox 3.6.16