21.02.2012, 10:36 Uhr
Mozilla gibt CAs eine letzte Chance
Die Firefox-Mutter Mozilla will die Herausgeber von Sicherheitszertifikaten, sogenannte Certificate Authorities, enger an die Kandarre nehmen. Diese sollen darauf verzichten, für Unter-CAs Zertifikate auszustellen. Grund sind gefährliche Man-in-the-Middle-Attacken, die durch die Praxis möglich wären.
Mozilla hat alle CAs aufgefordert, untergeordnete CA-Zertifikate zurückzurufen, die derzeit für geschäftliches SSL-Verkehrsmanagement verwendet werden. Damit gewährt die Firefox-Herausgeberin eine Art Amnestie all jenen CA, die entgegen der Vorschriften von Mozilla ihre Produkte mit Root-Zertifikaten ausgeliefert haben. Die Aufforderung ergeht, nachdem die CA Trustwave vor Kurzem zugegeben hat, dass sie ein Zertifikat einer Unter-CA vermacht hat, die dieses an eine Firma verkaufte, welche wiederum ihr DLP-System (Data Loss Prevention) damit ausstattete. Die Praxis ist sehr gefährlich. Denn die Sub-CA-Schlüssel lassen sich auch zur Signierung von SSL-Zertifikaten (Secure Socket LAyer) für jeden Domainnamen im Internet verwenden. Das öffnet Man-in-the-Middle-Attacken Tür und Tor, denn die Hacker könnten jede Webseite als vertrauenswürdige SSL-Anlaufstelle tarnen. Lesen Sie auf der nächsten Seite: «Amnestie» für CAs Zwar hat Trustwave versichert, das Zertifikat sei in einem sogenannten Hardware Security Module (HSM) gespeichert worden und sei damit für Dritte unzugänglich gewesen. Trotzdem hat Mozilla die Praxis als Bruch seiner Policy gewertet.
Die CAs akzeptieren in der Regel die Mozilla-Policy, damit deren Root-Schlüssel Default-mässig in Firefox und Thunderbird vorhanden sind. Der Trustwave-Fall hat nun aber Mozilla aufgeschreckt. Denn es ist zu befürchten, dass weitere CAs ähnliche Vergabepraxen gepflegt haben. Deshalb fordert Mozilla nun alle CA auf, die wie Trustwave gehandelt haben, dies zuzugeben. Dafür werde der Browserhersteller dann auch auf schärfere Massnahmen, wie die Verweigerung der Anerkennung der Zertifikate durch die eigenen Produkte, verzichten. Letzteres wäre wohl ein harter Schlag für die betroffene CA, denn alle von ihr ausgegebenen Zertifikate wären dann mit dem Browser Firefox nicht mehr gültig, was die Zertifizierungsfirma früher oder später in den Ruin treiben dürfte.
Die CAs akzeptieren in der Regel die Mozilla-Policy, damit deren Root-Schlüssel Default-mässig in Firefox und Thunderbird vorhanden sind. Der Trustwave-Fall hat nun aber Mozilla aufgeschreckt. Denn es ist zu befürchten, dass weitere CAs ähnliche Vergabepraxen gepflegt haben. Deshalb fordert Mozilla nun alle CA auf, die wie Trustwave gehandelt haben, dies zuzugeben. Dafür werde der Browserhersteller dann auch auf schärfere Massnahmen, wie die Verweigerung der Anerkennung der Zertifikate durch die eigenen Produkte, verzichten. Letzteres wäre wohl ein harter Schlag für die betroffene CA, denn alle von ihr ausgegebenen Zertifikate wären dann mit dem Browser Firefox nicht mehr gültig, was die Zertifizierungsfirma früher oder später in den Ruin treiben dürfte.
