Spionage?

SSL-Zertifikat: Französische Behörde gibt sich als Google aus, Google bemerkt es

Google hat eine französische Behörde dabei ertappt, dass sie sich als Google ausgab. Aufmerksam wurde der Konzern durch eine Sicherheitsfunktion im Chrome-Browser. Sie überprüft SSL-Zertifikate automatisch.

Google Chrome auf Windows. Google Chrome auf Windows
Screenshot: teltarif.de
Die französische Behörde für nationale Sicherheit in Informationssystemen (ANSSI) wurde von Google gerade dabei ertappt, wie sie dieselben Zertifikate nutzte wie einige Google-Domains. Wie der Suchmaschinengigant in seinem Sicherheitsblog schreibt, fiel Anfang Dezember auf, dass einige verwendete Zertifikate nicht von Google selbst autorisiert waren.

Google Chrome auf Windows. Google Chrome auf Windows
Screenshot: teltarif.de
Die folgenden Überprüfung führte zu einer Zertifizierungsstelle, die wiederum zur ANSSI gehört. Die Zertifizierungsstelle gehörte dabei zu denen, die Zertifikate für alle möglichen Internetseiten ausstellen und sich so als eine beliebige Seite "ausweisen" kann. Nachdem Google darauf aufmerksam geworden war, wurde das entsprechende Zertifikat im Google-eignen Browser Chrome gesperrt und andere Browser-Hersteller sowie die ANSSI selbst informiert.

Zertifikate wurden zur Überprüfung des Netzwerkverkehrs genutzt

Die Ermittlungen der ANSSI führten zu dem Ergebnis, dass das entsprechende Zertifikat in einem kommerziellen Gerät und nur in einem privaten Netzwerk verwendet wurde. Es diente dabei dazu, den verschlüsselten Netzwerkverkehr in diesem Netz mit vollem Wissen der Nutzer zu überprüfen. Der genaue Grund ist dabei aber nicht bekannt, es sei aber um die Stärkung der IT-Sicherheit des französischen Finanzministeriums gegangen.

Der entsprechende Prozess, der für den Fehler verantwortlich gewesen sei, stehe momentan unter Beobachtung. Damit solle sichergestellt werden, dass es nicht wieder zu einem solchen Fehler kommen werde. Die Entschlüsselung des verschlüsselten Netzwerkverkehrs sei dabei auf einen menschlichen Fehler zurückzuführen.

Entdeckt durch Sicherheitsfunktion des Chrome-Browsers

Die Kollegen von Heise.de vermuten, dass Google durch eine Sicherheitsfunktion in Chrome auf das fragwürdige Zertifikat aufmerksam geworden ist. Der Browser weiß dabei, welche Zertifikate von Google selbst unterschrieben sein müssen. Stößt der Browser dann beim Surfen auf eine Gegenstelle, die sich als Google ausweist, deren Zertifikat aber nicht von Google unterschrieben wurde, schlägt er Alarm.

Der Konzern hat selbst eine Erweiterung für das SSL-Protokoll vorgeschlagen. Die sogenannte Certificate-Transparency-Initiative setzt, wie der Name schon vermuten lässt, auf Offenheit. Künftig sollen sich ausgestellte Zertifikate schneller und einfacherer auf ihre Authentizität überprüfen lassen.

Wenn die Pfeiler wanken

In der Vergangenheit kam es öfter als vermutlich gewollt dazu, dass es Probleme mit den eigentlichen Stützpfeilern des Systems, den Zertifizierungsstellen, gab. In einem Fall wurde eine solche Institution gehackt, wodurch es den Angreifern möglich war, gefälschte SSL-Zertifikate zu erstellen. In einem anderen Fall kam es zur unbeabsichtigten Falschausstellung mehrerer Zertifikate.

Ein anderer Aussteller gab zu, über einige Zeit im Geheimen Zertifikate für Hersteller von Sicherheitsprodukten ausgestellt zu haben. Diese wurden dann, ähnlich wie im jetzigen Fall, dazu genutzt, den Netzwerkverkehr im jeweiligen Netzwerk zu überprüfen. Nach dem Bekanntwerden zog die entsprechende Stelle die Zertifikate aber wieder zurück. Es gibt auch Gerüchte, wonach die NSA eine solche Zertifizierungsstelle betreibt, um Zugriff auf verschlüsselte Verbindungen zu erhalten.

Mehr zum Thema Google Suchmaschine