Sie sind auf Seite 1von 1

EU-Behrde fr IT-Sicherheit kritisiert Zertifizierungsstellen | heise online

Seite 1 von 1

c't iX Technology Review Mac & i mobil Security Netze Open Source Developer c't-TV Download Telepolis Resale Foto Autos Preisvergleich Stellenmarkt Abo weitere Angebote

07.12.2011 17:55

EU-Behrde fr IT-Sicherheit kritisiert Zertifizierungsstellen


Die EU-Behrde fr IT-Sicherheit Enisa[1] beschreibt in ihrem Bericht "Operation Black Tulip: Certificate authorities lose authority"[2] die Hauptprobleme der jngst vorgefallenen DigiNotar-Hacks[3]. Darber hinaus macht die europische Agentur Vorschlge zur Erhhung der Sicherheit von Zertifizierungsstellen (Certificate Authorities, CA) etwa durch eine Alternative zum SSL-CA-System. Damit uert sich erstmals eine EU-Institution offiziell zu den Attacken auf Zertifizierungsstellen, in deren Verlauf Angreifer geflschte SSL-Zertifikate ausgestellt hatten. Enisa kritisiert, dass DigiNotar die zustndigen Behrden nicht unverzglich ber die Attacken in Kenntnis gesetzt und somit die Sicherheit und Privatsphre von Millionen Brgern gefhrdet habe. Eine sofortige Benachrichtigung htte die erheblichen Auswirkungen der Sicherheitspanne begrenzen knnen. Erst Mitte September hatte die niederlndische Aufsichtsbehrde fr Telekommunikation (OPTA) DigiNotar untersagt[4], weitere Zertifikate auszustellen. Fr problematisch hlt die Sicherheitsbehrde darber hinaus eine grundlegende Schwche im HTTPS-Design. In den Browsern und Betriebssystemen werden laut Enisa standardmig etwa 600 CAs als vertrauenswrdig eingestuft. Ein Fehler von einer CA stelle somit ein Risiko fr alle Anwender und Webseiten dar. Zudem wird von Browsern oft das OCSP (Online Certificate Status Protocol) zur berprfung von gltigen Zertifikaten nicht verwendet. Die Sicherheit von HTTPS hnge derzeit von der schwchsten CA ab, bilanziert Enisa. Es habe bereits verschiedene Vorschlge fr eine Alternative zur HTTPS-Implementierung gegeben. Die Sicherheitsbehrde schlgt nun Convergence[5] als sicheren Ersatz fr das CA-System vor. Der entscheidende Vorteil soll darin liegen, dass der Anwender selbst entscheidet, welcher Instanz er vertraut. (dta[6]) URL dieses Artikels: http://www.heise.de/newsticker/meldung/EU-Behoerde-fuer-IT-Sicherheit-kritisiert-Zertifizierungsstellen-1391549.html Links in diesem Artikel: [1] http://www.enisa.europa.eu/ [2] http://www.enisa.europa.eu/media/news-items/analysis-of-2018operation-black-tulip2019-certificate-authorities-lose-authority [3] http://www.heise.de/newsticker/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html [4] http://www.heise.de/newsticker/meldung/Aufsichtsbehoerde-untersagt-DigiNotar-das-Ausstellen-qualifizierter-Zertifikate-1344513.html [5] http://convergence.io [6] mailto:dta@heise.de

744555

Copyright 2011 Heise Zeitschriften Verlag Hosted by Plus.line Content Management by InterRed

http://www.heise.de/newsticker/meldung/EU-Behoerde-fuer-IT-Sicherheit-kritisiert-Z... 07.12.2011