{"id":2112,"date":"2015-03-25T14:00:30","date_gmt":"2015-03-25T13:00:30","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2112"},"modified":"2025-12-23T09:51:16","modified_gmt":"2025-12-23T08:51:16","slug":"cnnic-signiert-falsche-google-zertifikate","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/cnnic-signiert-falsche-google-zertifikate\/","title":{"rendered":"CNNIC signiert falsche Google-Zertifikate"},"content":{"rendered":"

Den neusten Informationen zur Folge sind erneut Probleme mit gef\u00e4lschten Zertifikaten aufgetreten: Der Suchmaschinenriese Google ist auf gef\u00e4lschte Zertifikate gesto\u00dfen<\/a>. Die chinesische Zertifizierungsstelle CNNIC signierte Zertifikate f\u00fcr Google und verschiedene weitere Domains, die von der Zwischen-Zertifizierungsstelle MCS Holdings<\/a> ausgestellt wurden. Das Problem dabei: S\u00e4mtliche g\u00e4ngigen Browser und zahlreiche Betriebssysteme akzeptieren Zertifikate der CA CNNIC.<\/p>\n

<\/p>\n

Man-in-the-Middle-Proxy: Das kann schnell schief gehen<\/h3>\n

Der Zwischenzertifizierer MCS stammt aus \u00c4gypten und offeriert verschiedene Dienstleistungen rund um Netzwerke. Unter anderem betreibt das Unternehmen einen Man-in-the-Middle-Proxy. Mit einer solchen Proxy-L\u00f6sung ist es m\u00f6glich, neue Zertifikate f\u00fcr jeden Zugriff auf HTTPS-Webseiten live zu erstellen und zu signieren. Normalerweise sind derartige Proxies darauf ausgelegt, das passende SSL-Zertifikat im Browser zu installieren. Dies umging MCS offenbar und erstellte SSL-Zertifikate<\/a>, die von s\u00e4mtlichen g\u00e4ngigen Browsern angenommen werden.<\/p>\n

Dieses Vorgehen bricht die Regeln f\u00fcr Zertifizierungsstellen sehr schwerwiegend auf: MCS agierte wie eine \u00f6ffentliche Zertifizierungsstelle und installierte den Private-Key auf dem Man-in-the-Middle-Proxy. Dieser Vorfall beweist einmal mehr, dass Sie ausschlie\u00dflich bei Extended Validation-Zertifikaten absolut auf Nummer Sicher gehen k\u00f6nnen, da die Validierung sehr umfangreich ausf\u00e4llt und gef\u00e4lschte Zertifikate aufgrund der ausgiebigen Pr\u00fcfung nicht vorkommen k\u00f6nnen. Dies gilt auch f\u00fcr den j\u00fcngst bekannt gewordenen Fall<\/a>, als es einem Finnen gelang, Microsoft-Zertifikate zu f\u00e4lschen.<\/p>\n

Die n\u00e4chsten Schritte: MCS-Zertifikat gesperrt<\/h3>\n

Google hat umgehend reagiert und das MCS-Zertifikat \u00fcber die hauseigene CRLset-Technologie gesperrt, Mozilla k\u00fcndigte bereits an<\/a>, mit dem kommenden Update ebenfalls zu sperren. Google mutma\u00dft auf Twitter<\/a>, dass MCS den Proxy ausschlie\u00dflich f\u00fcr den internen Datenverkehr genutzt hat. Unklar bleibt jedoch, warum CNNIC, eine dem chinesischen Informationsministerium unterstellte Organisation, ein Zertifikat f\u00fcr einen Telekommunikationskonzern aus \u00c4gypten ausgestellt hat. Als CNNIC seinerzeit durch g\u00e4ngige Browser als CA aufgenommen werden sollte, sorgte das durchaus f\u00fcr Diskussionen<\/a>.<\/p>\n

Google erkl\u00e4rte weiter, dass die aktuellen Chrome- und Firefox-Versionen das gef\u00e4lschte Zertifikat ohnehin nicht akzeptiert h\u00e4tten, da dort Key Pinning Einsatz findet: Die HTTP-Erweiterung soll die Sicherheit von HTTPS-Zertifikaten optimieren. Webseitenbetreiber k\u00f6nnen via HTTP-Header einen Pin mitsenden. Dieser Pin beinhaltet neben einem Zeitwert auch Hashes kryptografischer Schl\u00fcssel. Unterst\u00fctzt ein Browser das Pinning, werden diese Informationen abgespeichert und fortan nur jene Verbindungen akzeptiert, bei denen Zertifikate den gepinnten Schl\u00fcssel nutzen. Eine ausf\u00fchrliche Beschreibung des Key Pinnings k\u00f6nnen Sie bei Golem nachlesen<\/a>.<\/p>\n

Wie Sie mit unsicheren Zertifikaten umgehen k\u00f6nnen<\/h3>\n

Die Vorf\u00e4lle der j\u00fcngsten Zeit zeigen: Sie k\u00f6nnen sich nur mit EV- oder erkennbaren OV-Zertifikaten sicher f\u00fchlen. Schon auf vielen Rechnern befinden sich unsichere SSL-Zertifikate, die Sie entsorgen sollten. In einem ersten Schritt \u00fcberpr\u00fcfen Sie, ob verd\u00e4chtige Programme dazugeh\u00f6rige SSL-Zertifikate eingeschleust haben. Ihre Security-Suite kann Lauschprogramme finden, wenn sie \u00fcber dieses Feature verf\u00fcgt; alternativ k\u00f6nnen Sie Ihren Rechner auf superfish.tlsfun.de<\/a> auf Lauschsoftware scannen. Sind Sie f\u00fcndig geworden, notieren Sie sich den Namen des Herstellers und des Programms, gehen als Windows 8.1-Nutzer in die linke untere Bildschirmecke und klicken mit der rechten Maustaste. W\u00e4hlen Sie im Kontextmen\u00fc \u201eProgramme und Features\u201c aus und deinstallieren Sie die Programme, die Sie vorher notiert haben.<\/p>\n

Nun k\u00fcmmern wir uns um die SSL-Zertifikate, die Sie manuell l\u00f6schen m\u00fcssen: Dr\u00fccken Sie unter Windows 8.1 auf Ihrer Tastatur die Windows-Taste + R und geben Sie \u201ecertmgr.msc\u201c ins \u201eAusf\u00fchren\u201c-Fenster ein. Best\u00e4tigen Sie, \u00f6ffnet sich der Windows Zertifikate-Manager. Sie finden ein bestimmtes Zertifikat, indem Sie links \u201eZertifikate \u2013 Aktueller Benutzer\u201c markieren und in der Men\u00fcleiste \u201eAktion\/Zertifikate suchen\u201c anklicken. Geben Sie nun ins Eingabefenster den Suchbegriff ein. In der Suchergebnisliste k\u00f6nnen Sie das ausgew\u00e4hlte SSL-Zertifikat doppelklicken, um Details zu erfahren. Ist das SSL-Zertifikat unsicher, l\u00f6schen Sie es.<\/p>\n

Update: Google verbannt CNNIC aus eigenen Programmen<\/h3>\n

In einem Nachtrag zu seinem Blogbeitrag zum Thema<\/a> CNNIC signiert falsche Zertifikate erkl\u00e4rt Google nun, dass s\u00e4mtliche Root- sowie EV-Zertifikate von CNNIC aus der kompletten Google-Software verbannt werden. Im kommenden Chrome-Update wird diese Neuerung bereits enthalten sein. Da es jedoch auch Anwender gibt, die CNNIC-Zertifikate ben\u00f6tigen, soll eine Whitelist \u00fcber einen begrenzten Zeitraum hinweg daf\u00fcr sorgen, dass diese SSL-Zertifikate als vertrauensw\u00fcrdig angesehen werden. Google sieht die Voraussetzung daf\u00fcr, dass CNNIC erneut als vertrauensw\u00fcrdige Zertifizierungsstelle aufgenommen wird, dann erf\u00fcllt, wenn die chinesische Zertifizierungsstelle mehr Transparenz an den Tag legt. F\u00fcr CNNIC eine inakzeptable Entscheidung: in einer kurzen Mitteilung<\/a> erkl\u00e4rt die chinesische CA, man wolle f\u00fcr die Rechte sowie Interessen der User eintreten und daf\u00fcr m\u00fcsse auch Google seinen Beitrag leisten.<\/p>\n