Google und Mozilla entziehen CNNIC das Vertrauen

chrome firefox 

Vor wenigen Wochen sind mal wieder gefälschte TLS-Zertifikate in den Umlauf gekommen. Darunter waren auch Zertifikate für Google Domains. Ein Sicherheitsfeature von Chrome deckte den Vorfall auf. Jetzt entzieht Google und Mozilla der ausstellenden Zertifizierungsstelle das Vertrauen.

Vorübergehend wird Chrome die Zertifikate von CNNIC zwar weiterhin akzeptieren, aber mit einem der nächsten Chrome Updates wird man dem Root-Zertifikat das Vertrauen entziehen, heißt es bei Google. Nutzer bekommen dann eine entsprechende Warnung angezeigt.

Auch Mozilla hat inzwischen ähnliches bekannt gegeben. Firefox 37 soll alle Zertifikate von CNNIC blockieren, die nach dem 1. April 2015 ausgestellt wurde.

CNNIC hat MCS Holdings ein intermediate certificate authority ausgestellt. Somit konnte MCS Holdings Zertifikate erzeugen, die die meisten Browser als vertrauenswürdig einstufen und somit ein gefälschtes Zertifikat nicht auffällt.

In Chrome selbst ist aber hinterlegt von welchen Stellen Google-Zertifikate ausgestellt werden dürfen. Findet Chrome ein Zertifikat, welches von einer anderen Stelle für eine Google Domain ausgestellt wurde, meldet das wohl automatisch an Google.

In einem kurzen Statement bezeichnet CNNIC das Verhalten von Google als inakzeptabel.

Sowohl Google als auch Mozilla stehen laut eigenen Aussagen einer Wiederaufnahme der Root-CA aber offen gegenüber. Dazu müsse CNNIC aber bestimmte Voraussetzungen erfüllen.

Teile diesen Artikel: