News 30.08.2011, 11:51 Uhr

Missbrauch durch falsches Google SSL-Zertifikat

Ein falsches Zertifikat für Google-Domains wurde anscheinend durch die iranische Regierung zum Ausspionieren von Anwendern benutzt.
Ein von der niederländischen Zertifizierungsstelle DigiNotar herausgegebenes SSL-Zertifikat wurde möglicherweise durch die iranische Regierung missbraucht. Das berichten verschiedene Quellen, wie etwa Heise und die EFF. Das Zertifikat galt für Google-Domains und wäre geeignet gewesen, Google-Nutzer auszuspionieren. Solche Zertifikate dienen normalerweise der Authentifizierung von Benutzern und Inhaltsanbietern sowie zur Verschlüsselung des Datenverkehrs. Es ist im Moment noch unklar, an wen genau das Zertifikat ursprünglich abgegeben wurde und ob noch weitere betroffen sind.
Das finnische Sicherheitsunternehmen F-Secure entdeckte zudem Hinweise darüber, dass zumindest der Webauftritt der Ausstellerin DigiNotar selbst gehackt wurde. Und das gleich mehrmals in letzter Zeit.
Was bedeutet das nun für Sie als Benutzer?
In Google Chrome sowie im Internet Explorer ab Windows Vista wird das missbrauchte Zertifikat inzwischen automatisch blockiert. Bei Firefox- und Thunderbird-Anwendern wird das nächste Update das Zertifikat deaktivieren, wie Mozilla verspricht. Wer nicht so lange warten möchte, kann das auch selbst tun. Mozilla hat eine Anleitung (in Englisch) veröffentlicht, wie Sie das betroffene Zertifikat löschen können.
Lassen Sie sich die Zertifikate anzeigen
Und so gehts im Firefox mit deutschsprachiger Oberfläche: Öffnen Sie oben links das orange Firefox-Menü, dann gehts via Einstellungen zu Einstellungen. Wechseln Sie im neuen Fenster oben rechts zu Erweitert und klicken Sie auf den Reiter Verschlüsselung. Darin verwenden Sie den Button Zertifikate anzeigen.
Die Zertifizierungsstellen und zugehörigen Zertifikate
Es öffnet sich ein weiteres Fenster mit dem Zertifikatmanager. Wechseln Sie zum Reiter Zertifizierungsstellen. Hier sind für gewöhnlich vertrauenswürdige Zertifizierungsstellen aus aller Welt aufgelistet sowie die vorhandenen Zertifikate.
Scrollen Sie bis zu DigiNotar herunter. Klicken Sie darunter das Zertifikat namens «DigiNotar Root CA» an und gehen Sie zu Löschen oder Vertrauen entziehen. Bestätigen Sie die Rückfrage mit OK, dann wird das Zertifikat gelöscht.



Kommentare
Es sind keine Kommentare vorhanden.