Falsches Google-Zertifikat blieb 5 Wochen unentdeckt – Chrome 13 schützte Nutzer
Während die meisten Browser prüfen, ob ein Zertifikat für eine Webseite gültig ist, geht Google noch einen Schritt weiter. Hier wird auch geprüft, ob es von der richtigen CA stammt. Diese Funktion hat Chrome-Nutzer vor einer möglichen Man-in-the-middle-Attacke geblockt.
Sowohl Google, als auch Mozilla aber auch Microsoft haben inzwischen reagiert. Mozilla wird bald Updates für den Firefox und Thunderbird veröffentlicht und Microsoft hat auch schon ein Update freigegeben. Mozilla wird mit den neuen Versionen das Root-Zertifikat von DigiNotar deaktivieren und damit alle Zertifikate deaktivieren.
Von Chrome gibt es noch keine Version, aber dank eines Sicherheitsfeatures ab Chrome 13 waren die Nutzer schon geschützt. Mit der Attacke wurde versucht sich in die verschlüsselte Verbindung zwischen dem Google-Nutzer und den Google-Servern zu setzen.
Von dieser Attacke waren laut Google vor allem iranische Nutzer betroffen. Es wird vermutet, dass die iranische Regierung Mails mitlesen wollte. Nachdem Mozilla und Microsoft das Root-Zertifikat schon blockieren, wird Google das Zertifikat bestimmt auch noch auf die Liste setzen.
Details von Microsoft gibt es hier, das Mozilla-Posting beschreibt, die Schritte von Mozilla und hier gibt es noch das Posting von Google zu dieser Sache.
Heute wurde eine neue Version von Chrome 13 mit der Nummer 13.0.782.218 bring eine neue Version des Flash-Plugins mit. Dabei
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Das geht natürlich nur dann, wenn der Browser auch weiß, welches die richtige CA ist. Und da er üblicherweise eben nicht wissen kann, gibt es dieses Feature bei Firefox/IE/Safari/Opera nicht.
Und auch bei Chrome beschränkt sich das IIRC auf Google-eigene Websites: hier wird einfach geprüft, ob das Zertifikat von Thawte (von denen bezieht Google seine Zertifikate) stammt.
das Flash-Update wurde nun auch in der Beta Version freigegeben.