Ein Hacker hat sich zu dem Angriff auf die niederländische Zertifizierungsstelle DigiNotar bekannt, bei dem über 500 SSL-Zertifikate gestohlen wurden. Der Hacker nennt sich selbst «Ich Sun» und hat laut eigenen Angaben in der Vergangenheit bereits das Sicherheitsunternehmen Comodo attackiert, das auch als Zertifizierungsstelle agiert. Der Hacker gibt auch an, dass er weitere Zertifizierungsstellen, wie etwa das US-Unternehmen GlobalSign angegriffen hat. GlobalSign hat daraufhin sofort die Ausstellung neuer Zertifikate eingestellt und eine umfassende Untersuchung angekündigt.

Den Angriff auf DigiNotar begründet der Hacker damit, dass er die niederländische Regierung für das Massaker in Srebrenica im Jahre 1995 bestrafen wolle, bei dem über 8000 Muslime getötet wurden. Der Hacker gibt ausserdem zu, die Zertifizierungsstelle StartCom angegriffen zu haben. Der Diebstahl der digitalen Zertifikate wird damit immer brisanter. Die sichere Nutzung des Internet basiert schliesslich auf solchen digitalen Zertifikaten, mit deren Hilfe Browser feststellen, ob die aufgerufene Website echt oder gefälscht ist.

Auf der nächsten Seite: Die Browser-Hersteller rüsten auf

Die Browser-Hersteller rüsten ihre Surfbretter auf

Mozilla hat Firefox 6.0.2 offiziell zum Download freigegeben. Damit werden vom Feuerfuchs nun generell alle von DigiNotar ausgestellten Zertifikate als nicht vertrauenswürdig eingestuft. Im Mozilla Security Advisory 2011-35 wird die Gefährlichkeit der gefälschten Zertifikate mit «hoch» eingestuft. Ausser Firefox 6.0.2 hat Mozilla auch folgende Applikationen in den jeweils genannten Versionen veröffentlicht, in denen den DigiNotar-Zertifikaten ebenfalls die Vertrauenswürdigkeit entzogen wird:

Firefox Mobile 6.0.2
Firefox 3.6.22
Thunderbird 6.0.2
Thunderbird 3.1.14
SeaMonkey 2.3.3

Google Chrome ist bereits seit dem Wochenende in einer neuen Version erhältlich, die DigiNotar-Zertifikate als nicht mehr vertrauenswürdig einstuft.

Auf der nächsten Seite: Auch Microsoft schläft nicht

Microsoft flickt

Nach den Browser-Herstellern hat sich auch Microsoft dazu entschieden, alle von der niederländischen Zertifizierungsstelle DigiNotar ausgestellten SSL-Zertifikate als nicht vertrauenswürdig einzustufen. Dazu liefern die Redmonder weltweit ein Sicherheitsupdate aus. Der Patch ist für alle Windows-Versionen inklusive Windows XP und Windows Server 2003 verfügbar, wie Microsoft in einem Security Advisory erläutert.

Die Auslieferung erfolgt über Windows Update. Auch über die Brisanz des SSL-Zertifikatsdiebstahls ist sich Microsoft bewusst: «Wir sehen in diesem Fall ein Problem, das die gesamte Industrie betrifft und arbeiten gemeinsam mit Zertifizierungsstellen, Regierungen und Software-Herstellern an einer Lösung», heisst es.

Windows Vista, Windows 7 und Windows Server 2008 aktualisieren die Liste mit gültigen Zertifikaten automatisch. Ab Windows Vista und höher wird alle sieben Tage überprüft, ob eine Änderung vorliegt. Laut Angaben von Microsoft waren damit die betreffenden Windows-Versionen zuletzt am 5. September von den 531 gestohlenen Zertifikaten von DigiNotar bedroht. Aufgrund der gefährlichen Situation hat Microsoft sich dazu entschieden, auch ältere Windows-Versionen mit einem Update zu versorgen. Windows XP und Windows Server 2003 nutzen eine statische Liste, die durch das Update aktualisiert wird.