Warum die Wahl der richtigen SSL Certification Authority sich auszahlt

Inzwischen werden Sie wahrscheinlich längst von der türkischen Certificate Authority TÜRKTRUST wissen, die irrtümlicherweise zwei Zwischenzertifikate an zwei Organisationen in der Türkei herausgegeben hat.


Mit diesen Zertifikaten hatten diese beiden Organisationen, eine türkische Bank und eine staatliche Agentur, die Möglichkeit, betrügerische Zertifikate für Domains zu erstellen, die sie nicht kontrollieren.
In diesem Fall wurde ein Wildcard-Zertifikat für *.google.com ausgestellt – natürlich ohne das Wissen Googles. Laut TÜRKTRUST kam es während einer Software-Migration im August 2011 zu diesem Vorfall. Einer von der CA veröffentlichten Erklärung zufolge, wurden die Profile der Zwischenzertifikate zu einem Produktions-Server verschoben. Dies führte zur unbemerkten Ausgabe der Zwischenzertifikate.

Google hat das fälschlicherweise auf seine Domain ausgestellte Zertifikat am 24. Dezember entdeckt. Seit diesem Vorfall wurden die Zwischenzertifikate sowohl von Google, Mozilla als auch von Microsoft auf die Blacklist gesetzt. Darüber hinaus wird Googles Chrome Browser den Status von TÜRKTRUST SSL-Zertifikate mit EV (grüne Adressleiste) nicht weiter anerkennen.

Was verursachte diesen Zwischenfall?

Die Nachrichten und sozialen Medien, die den Vorfall von TÜRKTRUST verfolgen, äußern die gleichen Bedenken bezüglich des CA-Modells wie dem einstigen Einbruch in die Infrastruktur von Comodo und DigiNotar im Jahr 2011. Während Kritiker weiter darüber diskutieren, wie die Industrie die CA-Modelle ganzheitlich überdenken sollten, kommt ein Frage jedoch nie auf: Was war der tatsächliche Grund für das Fehlverhalten von TÜRKTRUST?

Man schätzt, dass sich die Kosten für den Betrieb einer kleinen CA auf etwas 1 Million US-Dollar belaufen – das ist kein unerheblicher Betrag. Betreiber kleinerer CAs handeln meist nach bestem Wissen und Gewissen, jedoch ist der SSL-Markt ein sehr schwieriges Umfeld mit renommierten, internationalen Wettbewerbern: Zertifikate müssen zu konstant niedrigeren Preisen möglichst schnell und sorgfältig ausgestellt werden.
Um in diesem Markt konkurrenzfähig zu sein, kürzen kleinere CAs an allen Ecken und Enden und versuchen so, den Betrieb aufrecht zu erhalten – zu lasten unbedingt notwendiger Investitionen in Hardware-, Software-, Mitarbeiter-Schulungen, Qualitätsmanagement, externen Audits, Infrastruktur, u.v.m.

Im Falle von TÜRKTRUST waren keine (Überwachsungs-/Früherkennungs-)Systeme vorhanden die das Geschehene hätten verhindern können. Des Weiteren hat TÜRKTRUST dem CA/Browser-Forum keinen Nachweis darüber geliefert, dass dessen im Juli 2012 in Kraft getretenen und für jedes Mitglied verpflichtenden Richtlinien erfüllt wurden. TÜRKTRUST ist jedoch leider nicht die einzige CA, die diese Sicherheitsanforderungen nicht erfüllen. Tatsächlich ist Symantec (inkl. aller SSL-Marken) die einzige CA, die öffentlich bekanntgegeben hat, dass sie diesen Richtlinien bereits entspricht.
Darüberhinaus ist die Anzahl der Certification Authorities in den letzten Jahren drastisch gestiegen, von einer hand voll auf hunderte global agierende CAs. Dies führt dazu, dass bei immer mehr CAs die strengen – und für die Branche lebenswichtigen – Sicherheitsauflagen und „CA/Browser Forum Baseline Requirements v.1.0“ nicht erfüllt werden. Jede CA ist für die Sicherstellung der Qualitätsstandards selbst verantwortlich. Ein Fehler im Validierungsprozess oder die Ausgabe eines einzigen fehlerhaften (Sub-Root-)Zertifikats gefährdet das Vertrauen in das SSL-System.

Wenn es um Sicherheit, Datenschutz und Geschäftskontinuität geht, denken Sie immer daran, dass nicht alle CAs gleich ausgestattet, aufgebaut und im gleichen Maße vertrauenswürdig sind.

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail