Wie die Kollegen in den USA in einem Blogbeitrag schreiben, wurden von DigiNotar auch gefälschte Zertifikate für die Microsoft-Domains *.microsoft.com und *.windowsupdate.com ausgestellt. In der letzten Woche wurde bekannt, dass der holländische Zertifikatsdienstleister DigiNotar ein Wildcard-Zertifikat für *.google.com im Auftrag eines bislang nicht genannten Antragstellers ausstellte. Wahrscheinlich wurde die Infrastruktur von DigiNotar gehackt, wie heise online berichtet.

Kein Nutzer einer beliebigen Windows-Version ist durch das Zertifikat für windowsupdate.com in seiner Sicherheit beeinträchtigt. Die Domain wird von Windows Update nicht mehr verwendet. Außerdem stellt der Windows-eigene Updatemechanismus die Echtheit eines Sicherheitsupdates anhand von diversen Faktoren fest, wobei die URL des Updateservers nur einer davon ist.

Anwender von Windows Vista und neuer sind automatisch vor Man-in-the-Middle-Angriffen geschützt, die eventuell durch Missbrauch der Zertifikate möglich wären: Diese Betriebssysteme prüfen online durch Nachfrage bei Windows Update bei jedem neuen Root-Zertifikat, ob es sich um ein gültiges Zertifikat handelt. Nachdem Microsoft zwei DigiNotar aus der Liste der vertrauenswürdigen Zertifizierungsstellen (CA) entfernt hat, werden alle von dieser CA ausgestellten Zertifikate automatisch zurück gewiesen.

Übrigens: Windows Phone ist ebenfalls nicht betroffen, da DigiNotar niemals dem Trusted Root Certificate Store hinzugefügt wurde.

 Erste Hilfe für Windows XP und Windows Server 2003

In einem zweiten Blogbeitrag erklären meine Kollegen unter dem Punkt „What you can do to protect yourself“, welche Schritte Nutzer von Windows XP und Windows Server 2003 gehen können, um DigiNotar aus der Liste der vertrauenswürdigen CAs zu entfernen.

Diese beiden Betriebssysteme greifen nicht auf die Certificate Trust List (CTL) unter Microsoft Update zu und können die Echtheit der Zertifikate daher nicht automatisch prüfen. Microsoft arbeitet derzeit an Sicherheitsupdates, die das Problem automatisch beheben. Wer nicht auf die Updates warten möchte, sollte die im genannten Blogbeitrag beschriebenen Schritte gehen.