Auch Mozillas Browser wird k�nftig etwa beim Besuch von Google.com �berpr�fen, ob das ausgelieferte SSL-Zertifikat von einem Herausgeber stammt, den der Dienst �blicherweise benutzt.
Ab der n�chsten Version 32 soll auch Firefox das sogenannte "Public Key Pinning" beherrschen [1], um vor missbr�uchlich ausgestellten Zertifikaten vertrauensw�rdiger Herausgeber zu warnen. Damit wandelt Mozilla in den Spuren von Google, dessen Chrome-Browser das Pinning bereits seit l�ngerem beherrscht.
Zertifikatsherausgeber (Certificate Authorities, CAs) k�nnen grunds�tzlich g�ltige Zertifikate f�r jede beliebige Domain wie etwa Google.com ausstellen. Dabei m�ssen sie eigentlich �berpr�fen, ob das Zertifikat vom legitimen Besitzer der Domain beantragt wurde. Es kam jedoch schon mehrfach vor, dass diese �berpr�fung nicht stattgefunden hat ? teilweise unter mysteri�sen Umst�nden [2]. Befindet sich die betroffene CA etwa auf der Liste der vertrauensw�rdigen Herausgeber des Browsers, kann das fatale Folgen haben: Gelingt es einem Angreifer, den Traffic seines Opfers umzuleiten, kann er sich dann unbemerkt in den verschl�sselten Datenverkehr einklinken, ihn mitlesen und manipulieren.
Beim Public Key Pinning gibt es eine Liste, in der verzeichnet ist, welcher Herausgeber Zertifikate f�r eine bestimmte Domain ausstellen darf. Wurde das Zertifikat von einer anderen CA ausgestellt, bewertet es der Browser als ung�ltig. Die Liste wird vom Browser-Hersteller vorgegeben. Mozilla plant offenbar [3], nach und nach die Liste von Google Chrome [4] zu �bernehmen. Den Anfang machen mit Version 32 diverse Twitter-Domains sowie die Domains von Mozillas Addon-Verzeichnis und Content Delivery Network.
Mit Version 33 folgen die Google-Domains sowie weitere von Twitter und mit Version 34 sollen schlie�lich auch Dropbox, TOR und *.accounts.firefox.com aufgenommen werden. K�nftig soll Firefox auch die Public Key Pinning Extension for HTTP [5] unterst�tzen. Damit k�nnen Webseitenbetreiber dann �ber den HTTP-Header festlegen, welche CAs sie �blicherweise benutzen. Dies beachtet der Browser ab dem n�chsten Besuch. (rei [6])
Keine Kommentare:
Kommentar veröffentlichen