DigiNotar CA Zertifikat Skandal: Gefälschtes SSL-Zertifikat aufspüren und löschen

Böses Erwachen für alle Google-Nutzer: Offenbar ist bei vielen Browsern ein ungültiges SSL-Zertifikat für Google-Dienste im Umlauf. Das gefälschte SSL-Zertifikat soll sich angeblich die iranische Regierung erschlichen haben, um darüber Nutzer von Google-Diensten wie Google Mail zu überwachen. Es wird mittlerweile von Chrome, Internet Explorer und Firefox blockiert – ist aber auf immer noch auf vielen Rechnern installiert. Aus Sicherheitsgründen sollte es besser gelöscht werden. Das dauert nur wenige Augenblicke.

DiginNotar CA Zertifikat ist gefälscht

Hintergrund des SSL-Gaus: SSL-Zertifikate sind dafür zuständig, sichere SSL-Verbindungen (erkennbar am https- statt http-Protokoll) zu verschlüsseln. Das Zertifikat ist praktisch der Schlüssel. Sicherheitsexperten sind darauf aufmerksam geworden, dass Google Chrome ein im Juli 2011 vom holländischen Unternehmen DigiNotar ausgestelltes SSL-Zertifikat, das für alle google-Domains gültig war, offensichtlich missbraucht wurde (die technischen Details finden Sie hier). Aufmerksam wurden Sicherheitsexperten durch eine neu eingeführte Sicherheitsfunktion in Google Chrome. Denn im Gegensatz zu anderen Browsern prüft Chrome nicht nur die Gültigkeit des Zertifikats, sondern auch dessen Zertifizierungsstelle (CA, Certificate-Authority).

Das gefälschte Zertifikat löschen

Die Browserhersteller haben bereits reagiert und angekündigt, in den nächsten Browserversionen und mit den nächsten Updates das gefälschte Zertifikat wieder zu entfernen. Microsoft hat das falsche DigiNotar-Root-Zertifikat bereits aus der Microsoft Certificate Trust Liste (eine Liste vertrausenswürdiger Zertifikate) entfernt und das gefälschte Root-Zertifikat damit unbrauchbar gemacht (weitere Infos finden Sie im Microsoft Security Advisor 2607712); es erscheint ein Zertifikatsfehler. Automatisch geschützt sind allerdings nur Nutzer ab Windows Vista; für Windows XP und Server 2003 hat Microsoft separate Sicherheitsupdates veröffentlichet. Weitere Infos dazu finden Sie im Tipp „Microsoft Update KB 2607712: Fix für das DigiNotar-Zertifikatsproblem„.

Wer nicht auf Updates warten oder auf ganz Nummer sicher gehen möchte, kann selbst Hand anlegen und das falsche SSL-Zertifikat für Google von Hand löschen. Beim Firefox-Browser geht das  folgendermaßen:

1. Klicken Sie auf den Firefox-Button, und rufen Sie den Befehl „Einstellungen“ auf.

2. Klicken Sie auf „Erweitert“ und dann aufs Register „Verschlüsselung“.

3. Es folgt ein Klick auf „Zertifikate anzeigen“

4. Markieren Sie in der Liste den Eintrag „DigitNotar Root CA“, und klicken Sie auf „Löschen und Vertrauen entziehen“.

5. Bestätigen Sie die nachfolgende Meldung per Klick auf „OK“. Das ungültige Zertifikat ist damit aus der Zertifikatsliste verschwunden und kann keinen Schaden mehr anrichten. Schließen Sie alle Fenster mit OK.

Weiterführende Links zum Thema:

Die mobile Version verlassen