Nachdem Saudi-Arabien erst kürzlich in den Nachrichten war, weil sie gerne die Blackberrys im Land überwachen wollen (und das nun auch kriegen) bin ich durch den offenen Brief der EFF an Verizon erst auf das wirkliche Problem aufmerksam geworden.

Die Firma CyberTrust (mittlerweile von Verizon aufgekauft) hat im Dezember 2005 eine sogenannte Sub-CA für Etisalat, den staatlichen Telekomkonzern in Saudi-Arabien erstellt. Das klingt unspektakulär, bis man mal genauer über die damit verbundenen Möglichkeiten nachdenkt. Da die CyberTrust CA in so ziemlich jedem Browser “eingebaut” ist “erbt” die Etisalat-Sub-CA damit das Vertrauen. Der Browser erkennt also Zertifikate von Etisalat als gültig an. Selbstverständlich ist genau das der Sinn einer Sub-CA, aber hier liegt auch die Gefahr. So könnte Etisalat für beliebige Webseiten Zertifikate erstellen (z.B. Banking, regierungskritische Organisationen, usw.) und der unbedarfte Nutzer würde nicht einmal merken, das er nicht mit dem richtigen Server verbunden ist. Etisalat könnte sich, ohne großen Aufwand, in die SSL-Verbindung einklinken und alle sensiblen Daten im Klartext mitlesen. Eine ziemlich unangenehme Vorstellung, besonders wenn man weiß, das die Saudis es mit den Menschenrechten nicht so genau nehmen und bei Oppositionellen erst recht nicht.

etisalat_ca