Keine Zertifikate von CNNIC erwünscht

China Internet Network Information Center, kurz CNNIC, wird von Google nicht mehr akzeptiert. Alle Zertifikate von CNNIC haben keine Chance mehr, was gleich auf alle Google Produkte bezogen ist.

CNNIC ist nicht unbekannt, sondern die zentrale Ausgabestelle für Root-Zertifikate. Warum Google so handelt, ist aber schnell erklärt. Microsoft, Mozilla und Google haben festgestellt, dass mehrere SSL-Zertifikate missbräuchlich ausgestellt wurden und das auf zig Google Domains. Zwar wurde als Ausgabestelle ein ägyptisches Unternehmen erkannt, aber dieses arbeitet mit CNNNIC zusammen, wurde also autorisiert. Die Zertifikate hätten zu Schwierigkeiten führen können und zwar so, dass sich fremde User als Google-Sites hätten ausgeben können. Google ging strikt vor und gab sofort CNNIC als schuldigen an, obwohl eigentlich MCS aus Ägypten die Schuld hätte tragen sollen. Aber durch die Autorisierung, setzt Google klare Grenzen und lehnt nun in Zukunft alle Zertifikate von CNNIC ab.
Auch der Versuch von CNNIC sich zu erklären, schlugen fehl. Laut CNNIC sollte MCS die Zertifikate nur für das eigene Unternehmen einsetzen. Aber nun kam es zu der Nutzung von Man-in-the-middle-Proxy. Diese wieder fangen eine Kommunikation ab und geben vor, eine Zieldomain zu sein, die natürlich in dem Moment nicht gegeben ist.

Google gab bekannt, dass keine CNNIC Root oder Extended Validation Zertifikate mehr akzeptiert werden und dass alle noch bestehende nun auf einer Whitelist geführt werden, die sich User anschauen können. Google ist aber nicht ganz so hart, wie es sich anhört. Es wurde bekannt, dass man sehr wohl Zertifikate in der Zukunft annehmen würde, wenn denn CNNIC eine Zulassung beantragt und vorab technische und betriebliche Kontrollen einrichtet, um solche Fehler für die Zukunft zu verhindern.

Und nicht nur Google hat gehandelt, sondern auch Mozilla. Hier ist man zwar noch nicht ganz so sicher, ob man die Zertifikate für die Zukunft akzeptiert oder ablehnt, aber man hat trotzdem etwas geändert. Der Manager ist für ein Abmahnverfahren, wodurch alte Zertifikate zurückgewiesen werden. Dann müsse sich CNNIC neu bewerben und natürlich bestimmte Regeln einhalten. Also schon etwas ähnlich wie Google, aber man ist sich noch nicht sicher, ob man wirklich so vorgeht.

Fakt ist, dass CNNIC durch MCS nicht zum ersten Mal negativ auffällt. Schon China gab bekannt, dass Angriffe auf Nutzer von US Diensten erfolgten. Die chinesische Zensur wurde erheblich verschäfft, was auch verständlich ist, da sich damals Unbekannte als Apple, Google und Microsoft auf den Mailservern ausgaben. Was jetzt genau mit Google und Mozilla passiert, wird die Zukunft zeigen.

Autor: Kerstin Münchehofe, Redaktion Domainalliance