Frage der Woche: Gefälschte Google-Sicherheitszertifikate

Letzte Woche gab Google bekannt, dass mehrere gefälschte Sicherheitszertifikate für diverse Google Domains entdeckt wurden. Diese wurden von einem Unternehmen namens MCS Holdings aus Ägypten ausgestellt. Das CA-Zertifikat, das MCS Holdings in die Lage versetzt, gültige Zertifikate zu erstellen, kam von CNNIC aus China. Da praktisch alle Browser CNNIC und vergleichbaren Institutionen in anderen Ländern vertrauen, kommt es im Falle des Missbrauchs von CA-Zertifikaten bei den Usern nicht zu Warnmeldungen. Google gegenüber sagte CNNIC, man habe MCS Holdings das CA-Zertifikat nur für Domains ausgestellt, die MCS Holdings auch gehören. MCS Holdings missbrauchte das Zertifikat folglich für eigene Zwecke. Da das gleiche Vorgehen auch für andere Domains – beispielsweise für das Online-Banking – möglich wäre, besteht ein großes Sicherheitsrisiko durch kriminelle Einrichtungen, denen es gelungen ist, ein CA-Zertifikat zu erhalten. Ein Mittel gegen dieses Problem wäre eine bessere Überwachung der Inhaber solcher Zertifikate, das ist aber in der Praxis schwer umzusetzen. Eine andere Möglichkeit besteht im Einsatz des so genannten “Certificate Pinnings”. Diese Technologie, die momentan bereits in Chrome- und Firefox-Browsern zum Einsatz kommt, sorgt dafür, dass die Browser das Auftauchen falscher Zertifikate melden. Momentan tun sie das aber nur für eine fest definierte Liste wichtiger Domains. Wäre es Ihrer Meinung nach sinnvoll, das Certificate Pinning auf alle Domains im Internet auszudehnen, oder gibt es noch andere Möglichkeiten, Zertifikatsmissbräuche wie oben beschrieben zu unterbinden? Zu dieser Frage äußern sich mailbox.org, totemo, SEPPmail und Arxan.

“Das System der SSL-Zertifizierungsstellen steht zu recht seit jeher in der Kritik: Zu naiv ist die Idee, jede der 200 Certification Authorities würde stets fehlerfrei arbeiten”, meint Peer Heinlein, CEO bei mailbox.org. “Durch gesicherte Zertifikats-Prüfsummen auf sicheren Drittkanälen, beispielsweise mittels DANE im gesicherten DNSSEC, kann und muss jeder verantwortungsvolle Anbieter die Daten seiner Nutzer zusätzlich schützen.”

“Google akzeptiert Wildcard-Zertifikate verschiedener Certification Authorities (CAs), das erleichtert eine solche Fälschung noch”, erklärt Marcel Mock, CTO und Mitbegründer von totemo. “Das Certificate Pinning ist eine gute Methode, um Zertifikatsmissbräuche zu verhindern. Wir selbst bei totemo wenden es schon seit Jahren an und haben damit gute Erfahrungen gemacht. Möglich wäre auch, dass Unternehmen über Domain Name System (DNS) bekannt geben, welches Zertifikat für ihre Seite zugelassen ist, dort kann dann entsprechend nachgeschaut werden. Mit DANE existiert bereits ein entsprechendes Netzwerkprotokoll, das dies für Webseiten und E-Mails leistet.”

“CA-Pinning ist kein zuverlässiges Instrument, um Zertifikate beziehungsweise deren Aussteller (CAs) zu validieren, da dieses Verfahren auf DNS basiert”, so Roland Mühlbauer, Technical Partner Account Manager bei SEPPmail. “Dort wird abgefragt, welche CA ein Zertifikat für die angefragte Domäne ausstellen darf. Da DNS per se unsicher ist, müsste an dieser Stelle die abgesicherte Variante von DNS (DNSSec) eingesetzt werden. Doch die geringe Verbreitung von DNSSec sowie dessen Zertifikatsbasis machen dies problematisch.”

“Certificate Pinning auf alle Domains auszuweiten dürfte sehr schwierig und aufwendig sein”, schließt Mirko Brandner, Sales Engineer bei Arxan Technologies, das Thema ab. “Ich denke allerdings, dass sich vor allem mobile Pattformen beziehungsweise die Apps auf ihnen dafür anbieten, denn eine mobile App muss sich im Gegensatz zu einem Browser lediglich mit einer bestimmten, kleineren Anzahl von Servern verbinden. Voraussetzung sollte aber sein, dass die Apps entsprechend gegen Reverse Engineering und Tampering geschützt sind, damit die kodierten Zertifikate nicht manipuliert und in Umlauf gebracht werden können.”