Technologie

Folgen & Konsequenzen des Diginotar-Hacks

Vor ein paar Tagen wurde bekannt, dass ein gefälschtes SSL-Zertifikat für *.google.com im Iran zum Einsatz kam. Das Zertifikat war der CA Diginotar signiert, die per default in so gut wie jedem Browser als „vertrauenswürdig“ gilt. Mit dem rogue cert konnte also wunderbar Traffic mitgeschnitten oder manipuliert werden, ohne dass einem ’normalen‘ Nutzer etwas auffällt.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Dazu gekommen war es anscheinend durch einen Hack des Diginotar-Servers im Jahr 2009. Diginotar ist eine niederländische CA, von der zum Beispiel auch die Web-Angebote der Regierung signiert wurden. Wer also aber schon einmal dabei ist, so eine CA zu hacken, der erstellt sich dann natürlich nicht nur ein Zertifikat, sondern direkt auch noch ein paar andere. Zum Beispiel für

*.windowsupdate.com (womit man wunderbar per Update eine Horde Windows-Rechner mit Trojanern ausstatten könnte)
*.torproject.org (womit man manipulierte Tor-Clients an seine Dissidenten verteilen könnte, um ihre Aktivitäten auszuspähen) oder für
secure.logmein.com

Irgendwann wurde es dem Angreifer wohl zu viel Arbeit, und er hat einfach Zertifikate für
*.*.org und
*.*.com
ausgestellt.

Im Moment sind 531 falsche Zertifikate identifiziert (zuletzt signiert im Juli 2011), und die Nachforschungen der niederländischen Regierung noch nicht abgeschlossen. Für die Nutzer bedeutet das, dass unter keinen Umständen jemals mehr diesen root-CAs getraut werden sollte:

DigiNotar Cyber CA
DigiNotar Extended Validation CA
DigiNotar Public CA 2025
DigiNotar Public CA – G2
Koninklijke Notariele Beroepsorganisatie CA
Stichting TTP Infos CA

Diese sollten also manuell entfernt werden, und (ohnehin) Browser und Betriebssystem immer auf aktuellem Stand gehalten werden.

Die niederländische Regierung hat recht schnell reagiert, sicherheitsrelevante Online-Angebote abgeschaltet und die Firma gerügt, die von dem Umstand bereits im Juni 2011 erfahren, aber niemanden informiert hatte. Das muss man sich auf der Zunge zergehen lassen: Aus Sorge um den eigenen Ruf und das Vertrauen, dessen man nicht mehr würdig war, nahm Diginotar den aktiven Missbrauch in Kauf.

Mit Diginotars Krisenmanagement wäre wohl final geklärt, was von einem Sicherheitsmodell zu halten ist, bei dem Institutionen das uneingeschränke Vertrauen der gesamten Welt ausgesprochen und auf Millionen von Rechnern ungefragt installiert wird.

Weitersagen und Unterstützen. Danke!
10 Kommentare
  1. Interessante Auswahl und örtliche Verteilung, mal sehen wie die komplette Liste aussieht.

    „Aus Sorge um den eigenen Ruf und das Vertrauen, dessen man nicht mehr würdig war, nahm Diginotar den aktiven Missbrauch in Kauf.“

    Neuerdings auch als TEPCO-NISA Prinzip bekannt.

    1. Und das muss doch Folgen haben … Wenn man da nun nicht drastisch vorgeht, dann passiert das anderen evtl. auch? Solche Firmen sollten für solche Pannen aber mal richtig zahlen – oder hat man hier evtl. absichtlich ein Auge zugedrückt??? Ich hoffe man geht der ganzen Geschichte auf den Grund!!!

  2. Ich bin mal wirklich auf die Ergebnisse der NL- Regierung gespannt auch auf die noch folgenden Auswirkungen, vielleicht gibt es ja noch ein paar kleine Stellungsnahmen der betroffenen Firmen? Würde mich freuen wenn hier darüber Berichtet wird.

  3. Die Konsequenzen dürften doch klar sein: Die restlichen Browser kopieren das Sicherheitskonzept mit dem Chrome das gefälschte Zertifikat fand, sämtliche CA’s lassen ihre Systeme regelmäßig von unabhängigen Experten überprüfen und veröffentlichen alle erzeugten Zertifikate (dachte, das wird schon gemacht und auch vom Browser überprüft).
    Mehr wird bestimmt nicht passieren , ob es reicht wissen wir in spätestens 5 Jahren.
    Das die holländische Regierung ihre kritsche Sicherheitsinfrastruktur ohne regelmäßige Prüfungen des Anbieters auslagert, halte ich für einen zusätlichen Skandal. Schließlich haben sie damit Diginotar das Vertrauen ausgesprochen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.