Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Microsoft entzieht Indischer CA das Vertrauen

Als Konsequenz auf die missbräuchlich ausgestellten Google-Zertifikate hat Microsoft die betroffenen SubCAs auf die Sperrliste gesetzt. Darüber hinaus wurde das ganze Ausmaß des Zwischenfalls bekannt: Betroffen sind 45 Domains – auch von Yahoo.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Microsoft hat drei SubCA-Zertifikaten der indischen Regierung das Vertrauen entzogen. Mitte der Woche wurde bekannt, dass damit falsche Zertifikate für Google-Dienste ausgestellt wurden. Die SubCA-Zertifikate gehören dem National Informatics Centre (NIC) und gehen auf das Wurzelzertifikat der staatlichen Zertifizierungsstelle Indiens zurück, der India CCA.

Das Wurzelzertifikat der India CCA befindet sich seit 2011 auf Microsofts Liste der vertrauenswürdigen Herausgeber. Programme wie der Internet Explorer, die Microsofts Krypto-Infrastruktur benutzen, vertrauen dieser CA (certificate authority) automatisch – und damit auch SubCA-Zertifikaten, die von ihr signiert wurden; wie denen des National Informatics Centre (NIC). In anderen CA-Listen, wie etwa der von Mozilla, wird die India CCA nicht geführt.

Betroffen sind die folgenden SubCA-Zertifikate:

Name Herausgeber Fingerprint
NIC Certifying Authority
 CCA India 2007 ‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf
NIC CA 2011 CCA India 2011 c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2
NIC CA 2014 CCA India 2014 d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

Automatische Updates

Laut Microsoft wird das Update, das die Zertifikate auf die Blacklist setzt, von den meisten noch unterstützen Windows-Versionen automatisch installiert. Einzig für Windows Server 2003 steht das Update noch aus. XP bleibt offenbar außen vor, da der Support im Frühjahr ausgelaufen ist.

Falsche Zertifikate für 45 Domains

In dem Microsoft-Advisory findet sich erstmals eine Liste aller Domains, für welche die CA missbräuchlich Zertifikate ausgestellt hat. Sie umfasst 45 Einträge wie google.com, mail.google.com und sogar Googles IMAP-Server. Darüber hinaus wurden aber auch etliche Zertifikate für Yahoo-Dienste ausgestellt.

Wem es wie in diesem Fall gelingt, falsche Zertifikate für fremde Domains ausstellen zu lassen, kann damit als Man-in-the-Middle unbemerkt SSL-Traffic im Klartext mitlesen und manipulieren. Ob es sich um eine staatliche Überwachungsaktion, einen Hackerangriff oder einen Konfigurationsfehler handelt, ist derzeit noch unklar. (rei)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten