Microsoft hat eine Sicherheitsempfehlung veröffentlicht, die sich auf die bekannt gewordenen Probleme mit SSL-Zertifikaten bezieht. Microsoft wurde von Comodo, einem Austeller von digitalen Zertifikaten, über neun bösartig manipulierte und von Comodo ausgestellte Zertifikate informiert. Comodo gehört zu den Zertifizierungsstellen, die in allen derzeit unterstützten Versionen von Windows zum Trusted Root Certification Authorities Store gehören. Es liegt also keine Schwachstelle in Windows vor, sondern ein Problem bei der Zertifizierungsstelle.

 

[Update: Comodo hat inzwischen in einem Blog-Beitrag weitere Details zum Einbruch veröffentlicht; unter anderem wird ein möglicher Bezug zu den Unruhen in Nordafrika hergestellt].


Microsoft hat ein Sicherheitsupdate (Hinweis: Die Überschrift des deutschen Knowledge-Base-Eintrags ist leider falsch übersetzt; die Updates beziehen sich aber auf das aktuelle Zertifikatsproblem) veröffentlicht, das die betroffenen Zertifikate in Windows sperrt. Das Update sollte automatisch über Windows Update verteilt werden, so dass Anwender keine gesonderten Schritte unternehmen müssen.


Comodo hat Microsoft am 16. März davon in Kenntnis gesetzt, dass neun Zertifikate im Namen eines Dritten ausgestellt wurde, ohne dass dieser ordentlich identifiziert wurde. Mit diesen Zertifikaten könnten Angreifer Phishing-Attacken verüben, Anwender per DNS-Poisoning – beispielsweise in Internet-Cafes oder öffentlichen WLAN-Hotspots – auf die bösartig manipulierten Webseiten locken, gefälschte Inhalte verbreiten oder Man-in-the-Middle-Angriffe gegen Nutzer von Webbrowsern wie dem Internet Explorer reiten.


Zertifikate für die folgenden Webseiten sind betroffen:

  • login.live.com

  • mail.google.com

  • www.google.com

  • login.yahoo.com (drei Zertifikate)

  • login.skype.com

  • addons.mozilla.org

  • "Global Trustee"

 

Comodo hat diese Zertifikate wenige Stunden nach deren Erzeugung widerrufen und sie in die aktuelle Certificate Revocation List (CRL, Zertifikatssperrliste) aufgenommen. Darüber hinaus überpfüfen Browser, bei denen das Online Certificate Status Protocol (OCSP) aktiviert ist, diese Zertifikate und blockieren ihre Verwendung.


Eine ausführliche Beschreibung der Hintergründe liefert der Tor-Entwickler Jacob Appelbaum in einem Blog-Beitrag.