Comodo stellt digitale Zertifikate ohne ausreichende Prüfung aus

[Scheinweltname]

Krass, Comodo hat Mist beim Ausstellen von digitalen Zertifikaten gebaut und Microsoft und die Browser-Hersteller baden es (mit) aus:

Microsoft Security Advisory (2524375)
Fraudulent Digital Certificates Could Allow Spoofing
Published: March 23, 2011

Version: 1.0
General Information
Executive Summary

Microsoft is aware of nine fraudulent digital certificates issued by Comodo, a certification authority present in the Trusted Root Certification Authorities Store on all supported versions of Microsoft Windows. Comodo advised Microsoft on March 16, 2011 that nine certificates had been signed on behalf of a third party without sufficiently validating its identity. These certificates may be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web browser users including users of Internet Explorer.

These certificates affect the following Web properties:

• login.live.com
• mail.google.com
• www*google.com
• login.yahoo.com (3 certificates)
• login.skype.com
• addons.mozilla.org
• "Global Trustee"

Comodo has revoked these certificates, and they are listed in Comodo’s current Certificate
Revocation List (CRL). In addition, browsers which have enabled the Online Certificate Status Protocol (OCSP) will interactively validate these certificates and block them from being used.

An update is available for all supported versions of Windows to help address this issue. For more information about this update, see Microsoft Knowledge Base Article 2524375.

Typically, no action is required of customers to install this update, because the majority of customers have automatic updating enabled and this update will be downloaded and installed automatically. For more information, including how to manually install this update, see the Suggested Actions section of this advisory.

Wenn ich das richtig verstehe, handelt es sich um SSL-Zertifikate. D.h. wer diese Zertifikate akzeptiert/ nicht darauf achtet (sie sind zwar von Comodo zurückgezogen, aber nicht jeder erlaubt dem eigenen Rechner die Verbindung zum CRL-Server von Comodo; z.B. jemand, der meine Whitelist-Firewall-Einstellungen benutzt ), den warnt der eigene Browser nicht mehr vor einem gefälschten Zertifikat - und man wähnt sich in SSL-Sicherheit, weil ja "https" und das Schloss wegen eines vermeintlich gültigen Zertifikats aktiviert sind.

Gut gemachte Phishing-Seiten mit einem solchen Zertifikat würden vermutlich selbst bei erfahrenen Nutzern kein Misstrauen erwecken; besonders brisant ist das in diesem Zusammenhang, weil es sich um vertrauenswürdige Namen wie (windows) live, skype oder mozilla handelt.

Wichtiges Update, das! Kommt zum Glück automatisch über Windows Update. Das Update setzt die betroffenen Zertifikate auf die Liste der nicht vertrauenswürdigen Zertifikate im Windows Zertifikat-Speicher; d.h. man braucht dann keine Verbindung zum CRL-Server von Comodo mehr.

Jetzt haben also schon zwei "Certificate Authorities" wegen schlampiger Prüfung bei mir einen schlechten Eindruck gemacht: Comodo und Digital River (paranoide User sollten das dort verlinkte *.pdf nicht lesen ).

 

[Agi Hammerklau]

64? Sorry, die Hütte ist erst noch dran!

 

[Scheinweltname]

Die dazugehörige News-Meldung bei heise security:
http://www.heise.de/security/meldung/SSL-GAU-zwingt-Browser-Hersteller-zu-Updates-1212986.html

http://www.heise.de/security/meldung/SSL-GAU-Ein-Angriff-im-Cyberwar-1213999.html
und auf CB: https://www.computerbase.de/2011-03/diverse-ssl-zertifikate-kompromittiert/
SPON: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,752934,00.html

Ich hab ja schon gedacht, dass ich überreagiert hätte ... aber Überschriften wie "SSL-GAU" und "Hacker attackieren Fundamente des Internets" sind ja doch an Dramatisierung nicht zu übertreffen ...