Security News

So funktionieren digitale Zertifikate und der Kreis des Vertrauens

David Strom, 9 März 2021

Erfahren Sie mehr über Googles jüngste Sperre einer Zertifizierungsstelle.

Wenn Sie sich an die Szene im Film "Meine Braut, ihr Vater und ich" erinnern, in der sich die Protagonisten (gespielt von Robert de Niro und Ben Stiller) über den "Kreis des Vertrauens" unterhalten, dann wird Ihnen der heutige Blog ein Verständnis dafür vermitteln, wie Ihre eigenen digitalen Kreise des Vertrauens aufgebaut sind.

Wenn zwei Computer verschlüsselte Informationen austauschen, müssen sie sich im Kreis des Vertrauens des jeweils anderen Computers befinden. Hierzu wird ein digitales Zertifikat installiert, das innerhalb der jeweiligen Anwendungen auf eine gemeinsame Stammzertifizierungsstelle verweist. Natürlich sind die meisten Anwendungen webbasiert und in diesem Fall müssen sowohl die Server als auch die Browser einander vertrauen. Doch es gibt viele weitere Anwendungen, die zur Durchführung verschlüsselter Operationen Zertifikate erfordern. Der entscheidende Punkt ist hier, dass sich diese Zertifizierungsstellen – genauso wie Ben Stillers Filmfigur – manchmal außerhalb des erforderlichen Kreises des Vertrauens bewegen.

Geschieht dies, ist das in der Regel auf menschliches Versagen zurückzuführen – sei es mit Absicht (wenn sich beispielsweise ein Hacker gewaltsam Zugriff verschaffen möchte) oder sei es aufgrund eines einfachen Konfigurationsfehlers eines Administrators. Dies ist ein Spezialgebiet und nicht viele Leute verfügen über die nötigen Fähigkeiten oder Erfahrungen, um Zertifizierungsstellen einzurichten.

Infolgedessen ist es im Laufe der Jahre zu einigen spektakulären Vertrauens-verletzungen im Zusammenhang mit verschiedenen Zertifizierungsstellen gekommen – viele davon werden in diesem Blogbeitrag dokumentiert. Im Jahr 2011 wurde beispielsweise die niederländische Zertifizierungsplattform DigiNotar von einem Angreifer vollständig kompromittiert. Nachdem er sich vollen Administratorzugriff auf alle kritischen Systeme verschafft hatte, stellte er gefälschte Zertifikate für eine Vielzahl an Domains aus. Dies zog eine gewaltige Aufräumaktion nach sich.

Ein weiterer bemerkenswerter Fall ereignete sich im Jahr 2015, als Symantec sein gesamtes Zertifizierungsgeschäft an Digicert verkaufte. Symantec verfügte über eine der am längsten durchgängig betriebenen und beliebtesten Zertifizierungsstellen, die von Millionen von Webseiten genutzt wurde, doch leider waren einige der ausgestellten Zertifikate nicht mehr vertrauenswürdig. Nach jahrelangen Bemühungen, das Problem zu beheben, hat Mozilla 2018 beschlossen, alle von Symantec ausgestellten Zertifikate als nicht vertrauenswürdig einzustufen. 

Der Welt des Vertrauens wurde erst vor kurzem ein weiterer Schlag versetzt, als Google beschloss, die spanische Zertifizierungsstelle Camerfirma nach wiederholten operativen Regelverstößen zu sperren. Die Sperre wird mit dem für Mitte April geplanten Release der Chrome-Version 90 in Kraft treten.

So prüfen Sie, ob Sie Camerfirmas Zertifizierungsstelle immer noch vertrauen

Apropos: Welche anderen Zertifizierungsstellen nutzen Sie eigentlich? Je nachdem, welches Endgerät und welche Anwendung Sie nutzen, lässt sich dies auf verschiedene Weise feststellen. Der einfachste Weg, um eine Liste der vertrauens-würdigen Zertifizierungsstellen aufzurufen, ist eine von Apple zur Verfügung gestellte Liste auf der für Apple-Geräte genutzten Zertifizierungsstellen aufgelistet werden. Alternativ kann der Befehls certmgr.msc über die Windows-Kommandozeile eingegeben werden. 

Zudem können Sie die erweiterten Sicherheitseinstellungen Ihres Browsers aufrufen,  die so ähnlich aussehen wie im nachfolgenden Screenshot. Hier sehen Sie nur einen Teil der von meinem Browser katalogisierten vertrauenswürdigen Stammzertifizierungsstellen. Die Liste ist ziemlich lang.

Diese Zertifikate werden zur Entschlüsselung von HTTPS-Datenverkehr verwendet. Sobald die Sperre in Kraft tritt, werden Webseiten, die von Camerfirmas Zertifizierungsstelle Gebrauch machen, nicht mehr geladen und es wird eine Fehlermeldung angezeigt. Dies war kein willkürlicher Schritt seitens der Browser-Anbieter. Das Unternehmen wurde mehrfach abgemahnt, um Ordnung in seine Aktivitäten zu bringen. Genauer gesagt wurden über die Jahre 25 solcher Abmahnungen ausgesprochen.  

Einer der Gründe, wieso diese Zertifizierungsstellen so beliebt sind, ist die kostenlose Open-Source-Initiative Let‘s Encrypt, die von zahlreichen Unternehmen, u.a. von Avast, unterstützt wird. Die Initiative ist so entstanden, dass sich die Entwickler von Cybersicherheitslösungen vor einigen Jahren zusammenschlossen, um die Verbreitung des HTTPS-Protokolls im Internet zu fördern. Die Verteilung der kostenlosen Zertifikate seitens der Entwickler war weitgehend erfolgreich. Weitgehend nur deshalb, weil nun auch einige Cyberkriminelle versuchen, ihre bösartigen Webseiten zu tarnen, indem sie sich hinter dem HTTPS-Protokoll verstecken.

Das Problem ist, dass nicht jedes Sicherheitstool in der Lage ist, diese Art von Datenverkehr zu entschlüsseln und korrekt zu identifizieren. So blieben beispielsweise die Aktivitäten des Zeus-Botnets hinter verschlüsselten Webseiten verborgen. Auch immer mehr Ransomware-Angriffe werden über verschlüsselten Internetdatenverkehr ausgeführt.

 

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!