taz.de -- Gehackte Zertifikate: Google entfernt Sicherheitsschloss

Google will sicherer werden. Bisher wurden sensible Daten auf Webseiten durch die "SSL"-Technik gesichert. Die kann aber gehackt werden. Alternativen werden gesucht.

Jeder Internet-Nutzer kennt das kleine Sicherheitsschloss. Es taucht auf, wenn man sich auf geschützten Seiten bewegt: Mit dem sogenannten "Secure Sockets Layer" (SSL) werden Tag für Tag millionenfach Verbindungen im Netz abgesichert. Doch die Verfahren, mit denen die Integrität von SSL sichergestellt wird, bekamen in den letzten beiden Jahren gleich mehrfach eins auf die Mütze. Es zeigte sich, dass sich die Technik durch die Hintertür aushebeln lässt.

Die Grundlagentechnik, die in ihrer ersten Version bereits Mitte der 1990er Jahre beim amerikanischen Surfwerkzeughersteller Netscape entstand, ist mittlerweile in die Jahre gekommen. Damit SSL funktioniert, muss sichergestellt sein, dass die Website, die man ansurft, auch wirklich der entspricht, die man sehen möchte. Sonst gibt man seine Bankdaten bei Gaunern ein, obwohl es so aussieht, als sei die Verbindung sicher.

Dazu werden von zentralen Stellen, die von kommerziellen Unternehmen betrieben werden, digitale Zertifikate ausgegeben. Doch diese Stellen lassen sich hacken: 2011 kam heraus, dass es Angreifern gelungen war, eigene Zertifikate für große Websites wie Google oder Yahoo zu erstellen, die dann in Kombination mit weiteren Tricks zum Abhören eigentlich geschützter Verbindungen genutzt werden konnten. Regime im nahen Osten sollen sich der Technik bedient haben.

Einmal Zertifikat, immer zertifiziert

Ein anderes Problem ist die extrem schwere Rücknahme eines einmal ausgestellten Zertifikats. Wird eine ganze Zertifizierungsstelle kompromittiert, muss diese in jedem Browser der Welt entfernt werden. Doch bieten nicht alle Hersteller Updates an, mobile Geräte bekommen oft gar keine Aktualisierungen und die Nutzer wissen nichts davon. Das führt dann dazu, dass gefälschte Zertifikate über Jahre verwendet werden.

Es gibt zwar Verfahren, mit denen sich einzelne Zertifikate auch nachträglich zurückziehen lassen - dazu werden von den Ausstellern sogenannte Certificate Revocation Lists, kurz CRLs, ausgegeben. Deren Abfrage dauert aber mindestens eine Sekunde beim Aufruf einer gesicherten Adresse, was dem Nutzer als Verlangsamung vorkommt.

Die meisten Browser sind sogar so eingestellt, dass sie die Abfrage einfach weglassen, wenn der Listenserver sie nicht erreicht. "Das ist so wie ein Sicherheitsgurt, der im Falle eines Unfalls reißt. Obwohl es 99 Prozent der Zeit funktioniert, ist es wertlos, weil es nur funktioniert, wenn man es nicht braucht", sagt Adam Langley, Sicherheitsforscher bei Google. Kriminelle könnten die Abfrage lahmlegen, um sicherzustellen, dass sie nicht funktioniere.

Chrome ohne Abfrage

Deshalb habe sich Google mittlerweile entschieden, die Abfrage der Listen aus seinem hauseigenen Browser Chrome zu entfernen, sagt Langley. Stattdessen will das Unternehmen eine eigene, hochverfügbare Liste führen, die ständig aktualisiert wird. Sie werde dann mit Browser-Updates automatisch übertragen. Langley forderte die Zertifikateaussteller auf, Google zeitnah zurückgezogene Zertifikate mitzuteilen. Derzeit dauere so etwas oft Monate, heißt es bei dem Internet-Konzern.

Nutzerseitig lässt sich derzeit nur wenig tun - die Browserhersteller und die Zertifikateaussteller müssen reagieren. Der [1][Sicherheitsforscher] [2][Christopher Soghoian] hatte schon vor fast zwei Jahren vorgeschlagen, eine Browser-Zusatzsoftware anzubieten, die prüfen kann, ob Zertifikate ungewöhnlicher Herkunft sind. So ließe sich der Nutzer beispielsweise darauf aufmerksam machen, dass er zwar bei Google USA eingeloggt ist, aber das Zertifikat aus einem Regimeland in Nahost stammt.

Bislang ist die Technik aber noch nicht auf dem Markt. Hilfreich sind allerdings bereits jetzt Werkzeuge wie die kostenlose [3][Toolbar] von Netcraft für Firefox, die unter anderem das Alter eines Angebots prüft und auf Merkwürdigkeiten aufmerksam macht. Die Netzbürgerrechtsorganisation SSL betreibt zudem ein sogenanntes [4][SSL-Observatorium], das Manipulationsversuche aufdecken soll.

9 Feb 2012

LINKS

=> http://toolbar.netcraft.com%3Cspan%20class= [3] http://toolbar.netcraft.com%3Cspan%20class=

AUTOREN

ARTIKEL ZUM THEMA

Googles Web-Browser Chrome hat sich in vier Jahren zum Marktführer entwickelt. Das liegt auch daran, dass die Software wirklich gut ist – wenn man sie richtig einstellt.

Der Open-Source-Browser Firefox verliert Marktanteile – ausgerechnet gegenüber Googles Browser. Die neue Version 11 bietet kleinere Verbesserungen.

Der Internetkonzern Google hat laut Eigenaussage unabsichtlich die Datenschutz-Standards von Apple ausgehebelt. Mit Tracking-Cookies ließ sich das Nutzer-Verhalten im Netz nachverfolgen.

Musikhören ohne lästigen Kabelsalat – daran arbeitet Google US-Medienberichten zufolge. Seit Mitte Januar wird in den Häusern von Mitarbeitern getestet.

Eine Festplatte im Internet? Das gibt es schon. Jetzt will auch Google einen Online-Speicherdienst anbieten. Auf "Drive" sollen Nutzer Texte, Fotos und Videos speichern können.

Wieder ist "Safer Internet Day". Und wieder stellt sich die Frage, was dieser Tag aussagen soll. Seine wahre Bestimmung steht ihm erst noch bevor.

Google will wie Facebook werden: Für die Zentralisierung der Daten wirbt die Firma deshalb um das Einverständnis der Nutzer. Dagegen wehren können die sich nicht.

Google vermeldete jüngst stolz, die Nutzerzahlen seines Netzwerks Google+ hätten sich verdoppelt. Das hängt womöglich mit einem Trick zusammen.