Windows Updates nicht von gestohlenen SSL-Zertifikaten betroffen

Hackern ist es gelungen, über 500 SSL-Zertifikate von dem niederländischen Unternehmen DigiNotar zu stehlen . Zu den betroffenen Domains sollen auch Websites gehören, die die Nachrichtendienste CIA, MI6 und der Mossad nutzen. Auch Microsoft, Yahoo, Skype, Facebook, Twitter und Microsofts Update-Dienst gehören zu den Opfern. Microsoft hat aber mittlerweile verlauten lassen, dass die gestohlenen Zertifikate nicht dafür missbraucht werden könnten, um manipulierte Updates an die Windows-Gemeinde über Windows Update zu verbreiten.

In einem Blog-Eintrag des Microsoft Security Response Center (MSRC) betont Microsoft-Entwickler Jonathan Ness, dass der Windows-Update-Client nur Inhalte installieren könne, die Microsoft selbst digital signiert habe. Sieben der 531 gestohlenen Zertifikate galten für die Domains update.microsoft.com und windowsupdate.com. Weitere sechs der gestohlenen Zertifikate galten für *.microsoft.com.

Laut Microsoft können die Diebe die Zertifkate für windowsupdate.com nicht missbrauchen, weil Microsoft diese Domain nicht mehr nutzt. Windows Update nutzt mittlerweile die Domain windowsupdate.microsoft.com. Die Zertifikate für update.microsoft.com und *.microsoft.com könnten dagegen von den Hackern verwendet werden. Die über diese Domains ausgelieferten Updates sind aber - wie erwähnt - durch ein zusätzliches Zertifikat gesichert, das nur Microsoft vergeben kann. Ein ähnliches Prinzip nutzen auch andere Hersteller, wie Apple, um ihre Updates zusätzlich abzusichern.

Die Browser-Hersteller Mozilla und Google haben bereits angekündigt, mit neuen Browser-Versionen künftig alle Zertifikate blockieren zu wollen, die von DigiNotar herausgegeben wurden. Google Chrome wurde bereits dementsprechend aktualisiert und Mozilla wird voraussichtlich noch am Dienstag Firefox 6.0.2 veröffentlichen. Microsoft will sich anschließen und ebenfalls künftig im Internet Explorer alle DigiNotar-Zertifikate blockieren.