Man kann sich nicht wirklich auf die Verschlüsselung von Windows verlassen, denn über eine weitgehend unbekannte Funktion kann Microsoft dem Betriebssystem jederzeit neue Stammzertifikate unterschieben. Beliebige andere Zertifikate lassen sich dann mit solchen Stammzertifikaten beglaubigen.

Unsichtbar im Hintergrund erfolgt das Nachladen der neuen Root-CA, ohne Zutun des Anwenders. Auf diesem Weg könnten sich Lauscher etwa in verschlüsselte Internetverbindungen einklinken, um diese unbemerkt zu belauschen.

Mit Hilfe des "Automatic Root Certificates Update" erfolgt das Nachladen von Stammzertifikaten, das Microsoft vor Jahren eingeführt hat und bei allen Windows-Versionen standardmäßig aktiviert. Da nicht nur der Internet Explorer, sondern auch Safari und Chrome auf die Krypto-Infrastruktur von Windows zurückgreifen, laden auch diese beiden Browser von Microsoft dynamisch CA-Zertifikate nach. Eine eigene Infrastruktur nutzt Firefox und ist daher nicht betroffen.

Über eine Gruppenrichtlinie lässt sich das automatische Aktualisieren der Stammzertifizierungsstellen unterbinden. Dies führt aber leicht zu Problemen, denn Microsoft liefert etwa bei Windows 8 nur noch einen sehr reduzierten Satz an CA-Zertifikaten mit. Schon der Aufruf der Webseite der Telekom-CA https://www.telesec.de, der Firefox von Haus aus vertraut, führt dann zu einem Fehler in Internet Explorer, Chrome und Safari.

(ts, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE