GoogleWatchBlog

Falsches Google-Zertifikat blieb 5 Wochen unentdeckt – Chrome 13 schützte Nutzer

» Web-Version «

Während die meisten Browser prüfen, ob ein Zertifikat für eine Webseite gültig ist, geht Google noch einen Schritt weiter. Hier wird auch geprüft, ob es von der richtigen CA stammt. Diese Funktion hat Chrome-Nutzer vor einer möglichen Man-in-the-middle-Attacke geblockt. 

Sowohl Google, als auch Mozilla aber auch Microsoft haben inzwischen reagiert. Mozilla wird bald Updates für den Firefox und Thunderbird veröffentlicht und Microsoft hat auch schon ein Update freigegeben. Mozilla wird mit den neuen Versionen das Root-Zertifikat von DigiNotar deaktivieren und damit alle Zertifikate deaktivieren.

Von Chrome gibt es noch keine Version, aber dank eines Sicherheitsfeatures ab Chrome 13 waren die Nutzer schon geschützt. Mit der Attacke wurde versucht sich in die verschlüsselte Verbindung zwischen dem Google-Nutzer und den Google-Servern zu setzen.

Von dieser Attacke waren laut Google vor allem iranische Nutzer betroffen. Es wird vermutet, dass die iranische Regierung Mails mitlesen wollte. Nachdem Mozilla und Microsoft das Root-Zertifikat schon blockieren, wird Google das Zertifikat bestimmt auch noch auf die Liste setzen.

Details von Microsoft gibt es hier, das Mozilla-Posting beschreibt, die Schritte von Mozilla und hier gibt es noch das Posting von Google zu dieser Sache.

Heute wurde eine neue Version von Chrome 13 mit der Nummer 13.0.782.218 bring eine neue Version des Flash-Plugins mit. Dabei


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren