1937286

Mozilla will SSL in Firefox verbessern

28.04.2014 | 11:18 Uhr |

Der Missbrauch von nicht autorisierten oder gefälschten Zertifikaten soll ab Firefox Version 31 unterbunden werden.

Mozilla hat angekündigt, dass der Webbrowser Firefox ab der Version 31, die für Juli erwartet wird, wesentlich strikter dem Industriestandard für sichere SSL-Zertifikate folgen wird. Die verbesserte Sicherheit wird durch Einbau der neuen Programm-Bibliothek "mozilla::pkix" erreicht.

Die meisten Änderungen im neuen Zertifizierungs-Verfahren sind geringfügige Anpassungen, um dem Standard der Zertifizierungs-Behörde (Certification Authority/Browser - CAB Forum) zum Erzeugen und Verwalten von öffentlichen SSL-Vertrauenszertifikaten besser umzusetzen, aber gleichzeitig nutze Mozilla auch die Gelegenheit, seine eigenen Richtlinien zum Auswerten der Zertifikate zu verschärfen. Die Dokumentation der neuen Programm-Bibliothek beschreibt, dass neuen Mindest-Voraussetzungen an Zertifikate gestellt werden; zum Beispiel müssen künftig alle Zertifikate den Basis-Standardrichtlinien der Zertifizierungs-Behörde folgen und können keinesfalls willkürlich als "vertrauenswert" erklärt werden.

Mit diesen beiden Mindest-Voraussetzungen will Mozilla dem Missbrauch von gefälschten SSL-Zertifikaten vorbeugen. In Februar 2012 gab Trustwave zu, Sub-Zertifikate an einen Dritt-Firma weitergereicht zu haben, um den SSL-Datentransfer über das Firmennetzwerk zu überwachen. Mozilla hatte sich prompt beschwert, da auch in einem privaten Firmennetz das Umgehen der Zertifikate nicht geduldet werden darf.

Ein weiterer Vorfall von Missbrauch ereignete sich im Januar 2013: Turktrust , eine türkische Zertifizierungs- Behörde gab zu, dass im August 2011 versehentlich erzeugte Sub-Zertifikate Einsatz in der Firewall der Stadt Ankara fanden und dort jeden SSL-Datenverkehr abhörten.

Mozilla hat daraufhin im Februar 2013 seine eigenen Richtlinien überarbeitet und erfordert, dass Sub-Zertifikate auf einen Domain-Namen begrenzt werden oder jedoch als öffentliche Vertrauens-Zertifikate der vollen Überprüfung durch das CAB-Forum unterzogen werden.

Mit Firefox Version 31 im Juli werden die Änderungen beim End-Anwender landen. Mozilla räumt ein, dass die überwiegende Mehrheit von Webseiten voll kompatibel ist, aber eine kleine Auswahl von HTTPS-Seiten auf Probleme stoßen wird. Das Mozilla-Sicherheitsteam beteuert in einem Blog , dass die neue Zertifikats-Auswertung ausgiebig getestet wurde aber dennoch ein Preisgeld von 10.0000 US-Dollar für das Auffinden von kritischen Sicherheitslücken in der neuen Programm-Bibliothek pro Lücke bis Ende Juni ausgesetzt wird. Daniel Veditz, Leiter von Mozillas Sicherheitsteam, im Blog, dass der OpenSLL-Bug Heartbleed ein Paradebeispiel ist, wie essentiell kritisch korrekter Code in den Programm-Bibliotheken ist. Mozilla will mit dem Preisgeld in Fehler finden, die zum Akzeptieren gefälschter Zertifikate führen. Reine Kompatibilitäts-Probleme, die beim Auswerte von gültigen Zertifikaten Fehler erzeugen, werden keine Prämie einbringen.

0 Kommentare zu diesem Artikel
1937286