Diverse SSL-Zertifikate kompromittiert

Wie bereits gestern einem Stellungnahme der Firma Comodo entnehmbar war, scheint der SSL-Zertifikats-Herausgeber „kompromittiert“ worden zu sein. Ein unbekannter Eindringling reichte über einen eigentlich authorisierten Zugangsweg Verifizierungsanträge für diverse SSL-Zertifikate von bereits bestehenden Webseiten ein.

Es waren dieser neun an der Zahl und umfassten die sieben folgende Domains addons.mozilla.org, login.skype.com, login.live.com, mail.google.com, www.google.com, login.yahoo.com – für diese Domain erfolgten gleich drei Einreichungen – sowie eine weitere nicht näher spezifizierte. Den Zugriff auf diesen Bereich verschaffte sich die betreffende Person über die Zugangsdaten eines Comodo-Partners in Südeuropa. Die IP-Adresse konnte einem im Iran gelegenen Service Provider zugeordnet, ein ausgestelltes Zertifikat ebenso auf einen iranischen Server zurückverfolgt werden. Dieser stellte übrigens kurz nach der Widerrufung des Zertifikates seine Aktivitäten ein. Über die Zahl der ausgestellten Zertifikate schweigt sich Comodo momentan aus, einzig die Existenz des obig genannten Zertifikates wurde bestätigt. Der ganze Vorfall soll sich am 15. März ereignet haben.

Da es möglich ist, mittels eines solchen Zertifikates nachgemachte Seiten, auf die man einen Nutzer umgeleitet hat, als authentisch erscheinen zu lassen, hat Comodo auch die Browserhersteller über dieses Ereignis informiert. Da eine Überprüfung durch den Browser selbst - so, wie von der SSL-Systematik eigentlich vorgesehen - aber mittels einer schlichten Blockade ebendieser durch die betreffende Seite selbst umgehbar ist – der Browser warnt in diesem Fall nicht – , implementierten sowohl Google als auch Mozilla und Microsoft entsprechende Updates in ihrer Produkte. In diesen sind die entsprechenden, von Comodo weitergegebenen, Seriennummern der Zertifikate statisch vorhanden und sollen so sicherstellen, dass derartiges Unbill von Nutzern ferngehalten werden kann.

Dass die Spuren in den Iran führen, wird von manchen schlicht als falsche Fährte, von anderen wiederum als Indiz dafür gesehen, dass die dortige Administration versucht, sich auf diesem Wege politischen Gegnern anzunehmen und deren Kommunikation zu stören. Diese Ansicht vertritt vor allem auch Comodo selbst und stützt sich dabei auf den Umstand, dass nur die iranische Regierung überhaupt den für eine solche Attacke notwendigen Zugang zu DNS-Servern habe und es sich zudem bei den betroffenen Domains um die von Social-Network-, VoIP- und Mail-Dienste handle, die ja, wie bei den Umstürzen in Nordafrika ersichtlich war, für ebensolche Vorhaben eine gute Koordinationsmethode darstellen.