Peter Ecklersley von der Electronic Frontier Foundation konstatiert in einem Hintergrundartikel zur Sicherheit von SSL, dass in den letzten vier Monaten mindestens fünf Certificate Authorities (CAs) kompromittiert wurden. Diese Information extrahierte Ecklersley aus den von den CAs veröffentlichten Sperrlisten für Zertifikate (CRL).

Diese CRLs enthalten Zertifikate, die nicht mehr als gültig erachtet werden sollen. Herausgeber sperren Zertifikate aus verschiedenen Gründen, etwa weil der Kunde einen Geschäftsbereich aufgegeben hat oder ihm der geheime Schlüssel abhanden kam. Interessant sind die insgesamt 248 Fälle, in denen der der Herausgeber der CRL als Begründung angab, dass die zuständige Certificate Authority kompromittiert wurde. Das war bis Juni 2011 nur bei 55 Zertifikaten der Fall. Diese fast zweihundert, seit Juni 2011 gesperrten Zertifikate wurden von fünf verschiedenen CAs ausgestellt.

Das sind also mindestens fünf CAs, die in nur 4 Monaten geknackt wurden, um missbräuchlich falsche Zertifikate auszustellen. Diese Zahl ist nur eine untere Grenze. In über 900.000 Fällen zog es der Herausgeber der CRL vor, das Begründungsfeld leer zu lassen. Das Problem mit solchen Einbrüchen bei CAs ist, dass jeder der akzeptierten Zertifikatsherausgeber für jede Web-Seite Zertifikate ausstellen kann. Browser werden sie klaglos akzeptieren. Laut SSL Observatory vertrauen unsere Browser insgesamt über 600 CAs in mehr als 50 Ländern.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE