1105763

Firefox 6.0.1 schützt vor gestohlenem Google-Zertifikat

31.08.2011 | 10:28 Uhr |

Firefox 6.0.1 ist erschienen und schützt Anwender vor dem kürzlich bekannt gewordenen gestohlenen Google-Zertifikat. Das Update sollte sofort installiert werden.

Mozilla hat auf das gestohlene Google-Zertifikat mit neuen Versionen von Firefox, Thunderbird und Seamonkey reagiert: Ab sofort sind Firefox 6.0.1, Firefox 3.6.21, Thunderbird 3.1.13, Thunderbird 6.0.1 und SeaMonkey 2.3.2. Die neuen Versionen stufen das gestohlene Google-Zertifikat von DigiNotar als nicht mehr vertrauenswürdig ein. Auch Google will so schnell wie möglich Google Chrome in einer neuen Version ausliefern, die das betreffende DigiNotar-Zertifikat als nicht mehr vertrauenswürdig einstufen wird, wie diesem Eintrag der Browser-Entwickler zu entnehmen  ist.

Zertifikat_Manager
Vergrößern Zertifikat_Manager

Alle Firefox- und Google-Chrome-Nutzer sollten das Update umgehend installieren. Mozilla hat zusätzliche eine Website eingerichtet, auf der den Anwendern erläutert wird, wie sie das falsche DigiNotar CA SSL-Zertifikat manuell aus Firefox löschen können. Dazu gehen Sie wie folgt vor:

1.) Rufen Sie die Einstellungen von Firefox auf und wechseln in den Bereich "Erweitert".

2.) Wechseln Sie nun in den Reiter "Verschlüsselung" und klicken Sie dann auf den Button "Zertifikate anzeigen".

3.) Sie befinden sich nun im "Zertifikat-Manager" von Firefox. Hier wechseln Sie in den Reiter "Zertifizierungsstellen", in dem alle gespeicherten Zertifkate angezeigt werden.

4.) Markieren Sie - falls vorhanden - den Eintrag "DigiNotar Root CA" und klicken Sie dann anschließend auf den Button "Löschen oder Vertrauen entziehen...".

5.) Bestätigen Sie abschließend die Änderung, in dem Sie den Zertifikat-Manager nach einem Klick auf den Button "OK" verlassen.

Dar das betreffende Zertifikat in Firefox eingebaut ist, wird das entsprechende Zertifikat zwar nicht gelöscht, sondern als nicht mehr "vertrauenswürdig" eingestuft, was den selben Effekt wie ein Löschen des Zertifikats hat.

Laut den Sicherheitsspezialisten von Sophos wurde das falsche Google SSL-Zertifikat bereits am 10. Juli von DigiNotar erteilt. DigiNotar hat dem betreffende Zertifikat an diesem Montag um 16:59:03 Uhr (GMT) die Vertrauenswürdigkeit entzogen. Sophos weist aber darauf hin, dass viele Browser nicht standardmäßig überprüfen, ob Zertifikaten die Vertrauenswürdigkeit entzogen wurde.

Das betreffende Zertifikat wurde vom niederländischen Zertifikate-Anbieter DigiNotar vergeben. Wie genau es den Hackern gelungen ist, dass DigiNotar-Zertifkat zu ergattern, gab der Zertifkate-Anbieter nicht bekannt, um weitere Missbrauchsfälle zu verhindern. Das Zertifikat war für alle Seiten auf *.google.com gültig.

0 Kommentare zu diesem Artikel
1105763