Gefälschtes Microsoft-Zertifikat "zum Spaß" registriert
Ein IT-Experte hat es geschafft, sich ein Zertifikat für die finnische Domain der Windows Live Services ausstellen zu lassen. Das Ganze war wohl ein Experiment, das allerdings auch die Sperrung seines Xbox-Kontos und Lumia-Handys zur Folge hatte.
- Fabian A. Scherschel
Der Finne, der sich ein SSL/TLS-Zertifikat für die Microsoft-Domain live.fi registrieren ließ, hat nach eigenen Angaben Microsoft über das Problem informiert, wurde aber ignoriert. Er habe die E-Mail-Adresse hostmaster@live.fi "zum Spaß" registriert, um auszuprobieren, ob er das könne.
Als nächstes habe er probiert, ein Zertifikat bei Comodo zu bestellen, auch das habe zu seiner Überraschung funktioniert. Im Januar habe er dann eine finnische Regulierungsbehörde und später Microsoft informiert.
Microsoft ignorierte, so ein Bericht im finnischen Magazin Tivi, mehrere Kontaktversuche des IT-Spezialisten an unterschiedliche E-Mail-Adressen. Die Firma machte das Problem schließlich in einer Sicherheitswarnung öffentlich und sperrte das Live-Konto, den Xbox-Account und das Lumia-Handy des Finnen.
Damit erfolgte die Reaktion vier bis sechs Wochen, nachdem Microsoft über das Problem informiert gewesen sein müsste. Sollte das Zertifikat wirklich nur zum Zwecke eines Tests und nicht für Angriffe registriert worden sein, hätten die Nutzer noch einmal Glück gehabt. Trotzdem zeigt das Vorkommnis wieder einmal die Schwächen im Zertifikatssystem auf. (fab)
