Jetzt ist es öffentlich: Diginotar, eine niederländische Tochter von Vasco, die als Zertifizierungsstelle u.a. Zertifikate für den niederländischen Staat ausstellt ist gehackt worden. Und nicht nur ein bisschen. Bereits am 19. Juli hat Diginotar nach eigenen Angaben einen Einbruch festgestellt und die ausgestellten Zertifikate zurückgezogen. Dabei ist dann vermutlich eines übersehen worden. Dummerweise ein Wildcard-Zertifikat von Google.
Die Angreifer werden in Iranischen Staatskreisen vermutet, weil das falsche Zertifikat zuerst von einem Iraner entdeckt wurde. Wer tatsächlich dahinter steckt wird sich wie üblich nie völlig aufklären und wenn, dann höchstens aufgrund von Indizien aus denen man Rückschlüsse ziehen kann. Für Diginotar sehe ich schwere Zeiten aufziehen. Wenn wie angekündigt wichtige Browser die Zertifikate von Diginotar sperren sind sie für Webseitenbetreiber völlig wertlos. Und da das Zertifikatsgeschäft stark auf Vertrauen basiert ist ein Vertrauensverlust schnell fatal.
Unabhängig davon und egal wie das Diginotar-Problem gelöst wird bleibt das grundsätzliche Problem von SSL jedoch bestehen: Es gibt ein paar hundert mehr oder weniger vertrauenswürdige Zertifizierungsstellen, davon diverse die verschiedenen Staaten gehören. Was in den ganzen CAs passiert, wie die abgesichert sind und welche Leichen noch in den diversen Kellern versteckt sind lässt sich für den normalen Anwender gar nicht feststellen. Im Grunde kann man nur allen SSL-Anbietern gleich wenig vertrauen. Und damit sind die Zertifikate nur noch Snake Oil. Es „sieht“ soll aus, mit dem farbigen Sicherheitsbalken im Browser aber ob das was taugt … keine Ahnung.
Es wird höchste Zeit einen Ersatz für die völlig kaputte SSL-Infrastruktur zu finden.