[Update] Dell will künftig auf Root-Zertifikat verzichten
Nach Angaben des Computerherstellers handelt es sich dabei um ein “unbeabsichtigtes Sicherheitsleck”. Angeblich verwendet Dell das selbst-signierte Zertifikat jedoch nur zu Zwecken des Kundensupports. Möglich ist damit aber auch die Entschlüsselung von mit HTTPS chiffriertem Traffic.
Dell hat eingeräumt, Rechner mit einem selbst signierten Root-Zertifikat auszustatten. Nach Angaben des Computerherstellers, der Berichte mehrerer Blogger bestätigt, stellt dies ein “unbeabsichtigtes Sicherheitsleck” dar. Nicht betroffen seien Großkunden, die eigene System-Images installieren. Dell betont überdies, ab Werk weder Adware noch Schadsoftware installiert zu haben.
Ein selbst signiertes Root-Zertifikat könnte Dell beispielsweise dazu einsetzen, um mit HTTPS verschlüsselten Datenverkehr zu dechiffrieren. Bis Anfang des Jahres hatte auch Lenovo einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings in Kombination mit einer Adware namens Superfish Visual Discovery, die unerwünschte Werbung in Websites einschleuste.
“Sicherheit und Privatsphäre unserer Kunden haben bei Dell Priorität”, sagte eine Unternehmenssprecherin. “Wir entfernen das Zertifikat ab sofort von allen Dell-Systemen.”
Laut einer Analyse des deutschen Bloggers Hanno Böck hat Dell sein Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin auf seiner Website zum Download offeriere. Laut Dells Beschreibung stellt die Software eigentlich Funktionen für den Kundensupport.
“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”
Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Überdies befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”
In Zusammenarbeit mit dem Nutzer Kevin Hicks konnte Nord außerdem bestätigen, dass Dell für jeden mit dem Root-Zertifikat versehenen Computer denselben privaten Schlüssel vergeben hat, der sich laut Hicks mit öffentlich verfügbaren Werkzeugen auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, führt Nord weiter aus.
Update 24. November 11 Uhr 03: In einer ersten Stellungnahme zu den Vorwürfen bekräftigt Dell: “Das vorinstallierte Root-Zertifikat dient eigentlich nur dazu, Kunden besseren, schnelleren und einfacheren Support zu liefern. Unglücklicherweise führt es jedoch zu einer ungewollten Sicherheitslücke. Um das Problem zu adressieren, bieten wir unseren Kunden Anleitungen, wie sie das Zertifikat dauerhaft von ihrem System entfernen können. Diese erhalten sie entweder direkt per E-Mail, über die zugehörige Support-Seite oder über den Technischen Support. Darüber hinaus werden wir das Root-Zertifikat auch von allen künftig ausgelieferten PCs entfernen. Wurde das Zertifikat einmal ordnungsgemäß von einem Rechner gelöscht, wird es sich auch nicht von selbst erneut installieren.”
[mit Material von Stefan Beiersmann, ZDNet.de]