Noch mehr gestohlene SSL-Zertifikate

Security-GAU: Die Anzahl der bei DigiNotar entwendeten digitalen Zertifikate (wir haben darüber berichtet: Missbrauch durch falsches Google SSL-Zertifikat) hat sich auf über 500 erhöht. Betroffen sind etwa Microsoft- und Google-Seiten sowie Sites von Nachrichtendiensten wie CIA, Mossad und MI6.

Mozilla und Google haben auf das gefälschte Google-SSL-Zertifikat mit einer neuen Browserversion reagiert. Firefox wird nochmals mit einem Update versorgt, das alle DigiNotar-Zertifikate blockiert.

Laut dem Mozilla-Entwickler Gervase Markham soll die Anzahl der fälschlicherweise von DigiNotar erteilten SSL-Zertifkate bei 531 liegen. Markham gehört zu dem Team bei Mozilla, das fieberhaft daran arbeitet, dass Firefox die durch die betreffenden Zertifikate signierten Websites blockiert. Zu den betroffenen Domains sollen auch Websites gehören, welche die Nachrichtendienste CIA, MI6 und des Mossad nutzen. Auch Microsoft, Yahoo, Skype, Facebook und Twitter gehören zu den Opfern.

Letztendlich bedeutet der Vorfall, dass der Inhaber der Zertifikate eine HTTPS-Seite ins Internet stellen könnte, die beispielsweise ein gültiges Zertifikat von CIA.gov trägt. Unter Verdacht stehen Hacker aus dem Iran. Auch Google verdächtigt mittlerweile den Iran, nachdem das falsche SSL-Zertifikat im Namen von Google auf iranische Google-Nutzer abzielte. Alle digitalen Zertifikate wurden von dem niederländischen Unternehmen DigiNotar ausgefertigt, das in der vergangenen Woche eingeräumt hatte, im Juli Opfer einer Hackerattacke geworden zu sein.

Wie genau die SSL-Zertifikate schliesslich ausgefertigt wurden, verschwieg DigiNotar dagegen, um Nachahmer nicht auf die richtige Fährte zu bringen. Google und Mozilla haben am Wochenende angekündigt, ihre Browser so zu aktualisieren, das alle betreffenden digitalen Zertifikate von DigiNotar blockiert werden. Microsoft hat ebenfalls bereits ähnliche Massnahmen getroffen.

Der niederländische Innenminister hatte am Wochenende allen Niederländern mitgeteilt, dass die Regierung aufgrund des Angriffs auf DigiNotar nicht mehr für die Sicherheit aller Regierungsseiten garantieren könne. Die Bürger wurden aufgefordert, sich vorerst nicht auf Regierungswebsites einzuloggen, bis die Sites neue Zertifikate erhalten haben, die man sich von anderen Quellen besorgen wolle.

Jonathan Nightingale, Director of Firefox Engineering, hat das Unternehmen DigiNotar massiv für sein Verhalten kritisiert. Die Firma hätte die Browserhersteller bereits im Juli informieren und seinerzeit auch sofort mitteilen müssen, wie viele digitale Zertifikate die Hacker erbeuten konnten.