Nics Bloghaus
Die in Holland ansässige Firma Diginotar hat der iranischen Regierung offenbar zu einem SSL-Zertifikat verholfen, mit dem verschlüsselte SSL-Verbindungen zu Gmail abgehört werden konnten.
Die Herausforderung bei verschlüsselten Verbindungen ist, dass sichergestellt werden muss, dass man nicht nur verschlüsselt, sondern auch so verschlüsselt, dass niemand anderes mithören kann. Mithören könnte ja zum Beispiel ein man-in-the-middle-Angreifer, indem er sich zwischen die beiden kommunizierenden Rechner (Client & Server) klinkt, eine verschlüsselte Verbindung zum Nutzer mit einem eigenen Zertifikat aufbaut, diese abhört, und dann erst mit dem richtigen Zertifikat verschlüsselt an den richtigen Server weiterleitet. Um das zu verhindern, sollen die zur Verschlüsselung genutzten Zertifikate immer von einer vertrauenswürdigen Instanz signiert sein.
Einem üblichen Browser wie Firefox werden deshalb eine ganze Reihe an root-CAs mitgeliefert, denen standardmäßig vertraut wird. Wenn ein Zertifikat von einer Instanz signiert ist, deren CA nicht um Browser (per default oder nachträglich) installiert ist, kommt die altbekannte Warnmeldung “Dieser Verbindung wird nicht vertraut” – Der Nutzer muss das Zertifikat dann selbst prüfen und ihm quasi einmal das Vertrauen aussprechen. Die gleiche (oder bei manchen Browsern sehr ähnliche) Warnung bekommt ihr, wenn ein mittelloser Hacker euch zum Ziel einer man-in-the-middle-Attacke auserwählt hat, aber nicht im Besitz eines signierten Zertifikats ist.
Die Firmen im Besitz der standardmäßig mitgelieferten CAs verdienen also gutes Geld, weil sie der einzige Weg sind, einem DAU die vermeintlich sichere Nutzung der Seite ohne unverständliche Fehlermeldungen zu ermöglichen. Noch mehr Geld aber können sie natürlich damit verdienen, bösen Menschen Zertifikate für Domains auszustellen, die sie gar nicht besitzen.
So beispielsweise der iranischen Regierung, wenn diese gerne GMAIL-Verbindungen ihrer Bürger abhören möchte…
http://netzpolitik.org/2011/wie-der-iran-mit-hilfe-einer-niederlandischen-firma-gmail-abhorte/
Ein Kommentar
Pingback: Flüchtlingshilfe Iran e.V. 2010