Kasachstan: Browser-Hersteller blockieren staatliches Zertifikat
Die Browser Chrome, Edge, Firefox und Safari blockieren ab sofort ein digitales Zertifikat, das die Regierung Kasachstans Anfang Dezember herausgegeben hat. Es gilt als unsicher und kann zur Überwachung von Nutzerinnen und Nutzern eingesetzt werden, indem die Regierung den verschlüsselten Internet-Datenverkehr umleitet und entschlüsselt.
Das Ministerium für digitale Entwicklung hatte Anfang Dezember offiziell IT-Sicherheitsübungen in der Hauptstadt Nur-Sultan angekündigt und erklärt, durch diese könnten einige ausländische Internetseiten dort nicht mehr erreichbar sein. Tatsächlich sollten Anwender dazu gebracht werden, ein vom Staat herausgegebenes sogenanntes Root-Zertifikat auf ihren Geräten zu installieren, um wieder Zugriff auf große Internetdienste zu erhalten. Laut der IT-Nachrichtenseite ZDNet wurden Anwender auch per SMS dazu aufgefordert, das staatliche Zertifikat herunterzuladen.
Regierung will verschlüsselte Verbindungen kompromittieren
Verschlüsselte Verbindungen sollen gewährleisten, dass Kriminelle, aber auch Staaten und Geheimdienste den Internetverkehr der Nutzer nicht einfach mitlesen können. Beim verschlüsselten Zugriff auf Internetseiten über HTTPS dienen Software-Zertifikate dazu, die verschlüsselte Kommunikation auszuhandeln. Browser und Endgeräte führen Listen mit vertrauenswürdigen Root-Zertifikaten der sogenannten “Certificate Authorities”. Diese Organisationen geben Zertifikate für Webseitenbetreiber heraus. Durch das installierte staatliche Root-Zertifikat vertrauen Endgeräte und Browser dann neuen, von der Regierung gefälschten Zertifikaten für Webseiten. Somit könnte der Datenverkehr zwischen der jeweiligen Webseite und dem Browser mitgelesen werden. Nicht nur die Vertrauenswürdigkeit von Webseiten könnte so kompromittiert werden: Auch der meiste andere verschlüsselte Datenverkehr im Internet wird mit TLS gesichert.
Nun hat Mozilla bekannt gegeben, das staatliche Zertifikat zusammen mit Apple, Google und Microsoft in den Browsern der Hersteller zu blockieren. Das kasachische Zertifikat untergrabe die Sicherheit der Nutzer und des Internets, so Mozilla. Wenn Nutzer es bereits in ihrem Browser installiert hatten, kann es nun nicht mehr funktionieren – und es wird eine Warnmeldung angezeigt. Mozilla empfiehlt, das Zertifikat zu löschen. Das gemeinsame Vorgehen der westlichen Hersteller ist nicht überraschend: Es gibt feste Regeln für die Betreiber von Root-Zertifikatsstellen, um das Vertrauen in das Zertifikatsystem zu gewährleisten.
ZDNet hatte Anfang Dezember berichtet, dass Nutzer in Nur-Sultan ohne das Root-Zertifikat nicht mehr auf Seiten wie Google, Facebook, Twitter, YouTube oder Netflix zugreifen konnten.
Schon der dritte Versuch
Im Jahr 2019 hatte die kasachische Regierung schon einmal dazu aufgefordert, ein solches Zertifikat zu installieren und dabei mit der nationalen Sicherheit argumentiert. Auch damals waren Seiten wie Google, Facebook oder Twitter sonst nicht mehr erreichbar, hatte die IT-Sicherheitsfirma F5 berichtet. Mozilla und Google hatten das Zertifikat daraufhin in ihren Browsern blockiert. Forscher der Universität Michigan hatten damals festgestellt, dass in Kasachstan Datenverkehr mithilfe des Root-Zertifikates tatsächlich umgeleitet wurde.
Ähnliche Pläne der Regierung waren bereits 2015 bekannt geworden. Damals wurde das Zertifikat bei Mozilla eingereicht, um es direkt in den Firefox-Browser aufzunehmen. Mozilla hatte das abgelehnt. (js)