Wer auf Nummer sicher gehen möchte, sollte aus seiner Schlüsselbundverwaltung das "DigiNotar Root CA" löschen (zu finden im "System-Roots"-Schlüsselbund).

Hintergrund zum Thema:

Welche muss ich denn jetzt löschen? Gibt es eine Liste?

Nur das eine Root-Zertifikat von DigiNotar? Habe jetzt diese Zerfikate in System importiert und auf "niemals vertrauen" gesetzt.

Nicht böse sein, aber ist es zu viel verlangt, sich erst einmal ein wenig mit dem Thema auseinander zu setzen, sprich - diesen Thread und die entsprechenden Links zu lesen und zu verstehen?

Es geht (vorerst) "nur" um das DigiNotar-Zertifikat.

Und wozu importierst Du es in Dein System-Schlüsselbund? Das hat zumindest hier niemand empfohlen …

Und einen Hinweis vorher habe ich bereits (nochmals) darauf hingewiesen, dass man es besser löscht anstatt es "als nicht mehr vertrauenswürdig" zu markieren.

Davon abgesehen musst Du z.B. Firefox auf 6.0.2 aktualisieren falls Du den verwenden solltest, denn der nutzt eine eigene Zertifikatsverwaltung unabhängig vom Mac OS X Schlüsselbund.

Und der GAU entwickelt sich langsam zum Super-GAU, offenbar ist das Debakel mit DigiNotar-Zertifikaten nur die Spitze des Eisbergs, es sind wohl noch andere CA-Zertifizierungsstellen betroffen...:

heise (07.09.2011): DigiNotar-Hack: GlobalSign stellt vorerst keine Zertifikate mehr aus Update

heise (06.09.2011): DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt

The Register (07.09.2011): DigiNotar hacker says he stole huge GlobalSign cache

Mal sehen, wie es weitergeht. Wenn diese Entwicklung anhalten sollte, dann können wir uns ja noch auf was gefasst machen. Und die Frage stellt sich, ob das ganze Zertifizierungssystem vor allem bzgl. SSL-Zertifikaten dann nicht kollabiert und infrage zu stellen ist (weil eine CA auf der anderen aufbaut bzw. die sich gegenseitig teilweise cross-zertifiziert haben, und ein einziges nicht mehr vertrauenswürdige Root-Zertifikat an der Wurzel eine ganze Kette an darauf aufbauenden Zertifikaten wertlos weil unsicher und nicht mehr vertrauenswürdig werden lässt) bzw. ob man es sich leisten kann und will, noch mehr Root-Zertifizierungsstellen komplett aus dem Verkehr zu ziehen (was man eigentlich machen müsste, um konsequent zu sein und um Sicherheit und Vertrauenswürdigkeit wiederherzustellen).

Siehe dazu auch:

threatpost (07.09.2011): Are Some Certificate Authorities Too Big To Fail?

Also pauschal müssten zumindest CNNIC und allen CAs aus den USA misstraut werden. Danach müsste man dann noch jede einzelne verbleibende CA überprüfen und zwar auf irrtümlich ausgestellte Zertifikate und auf Vertrauenswürdigkeit. Ich bezweifele, dass danach noch die Hälfte der jetzigen CAs als anerkannt verbleiben würde.
Honest Achmed.

Das ja ein netter Hacker, der uns allen helfen will.

Aus verschiedenen Quellen wurde mir mittlerweile bestätigt, dass es nicht ausreicht, lediglich das in Mac OS X schon vorhandene Root-Zertifikat von DigiNotar zu löschen.

Ich habe die 6 DigiNotar-Zertifikate, welche man sich in das System-Schlüsselbund importieren und als "nie vertrauenswürdig" kennzeichnen sollte, jetzt hier hinterlegt:



Das Passwort lautet: diginotar

Schritt-für-Schritt-Anleitung für 10.6 Snow Leopard:

1. Das Dienstprogramm "Schlüsselbundverwaltung" öffnen und das System-Roots-Schlüsselbund markieren (eventuell prüfen, ob bei "Kategorie" auch "Alle Objekte" ausgewählt ist). Jetzt oben rechts im Suchfeld "diginotar" eingeben und das Zertifikat "DigiNotar Root CA" markieren und per Kontext-Menü (Rechts-Klick) löschen.

2. Oben verlinktes Zip-Archiv herunter laden und entpacken.

3. Die beiden Root-Zertifikate "DigiNotar Root CA" sowie ""DigiNotar Root CA G2" in das System-Schlüsselbund importieren und beide auf "nie vertrauen" setzen.

SHA-1 Fingerabdruck für "DigiNotar Root CA" = C0 60 ED 44 CB D8 81 BD 0E F8 6C 0B A2 87 DD CF 81 67 47 8C
SHA-1 Fingerabdruck für "DigiNotar Root CA G2" = 43 D9 BC B5 68 E0 39 D0 73 A7 4A 71 D8 51 1F 74 76 08 9C C3

4. Außerdem müssen die zwei Intermediate-Zertifikate "DigiNotar Root CA" (signiert von Entrust) sowie "DigiNotar Services 1024 CA" in den System-Schlüsselbund importiert und beide auf "nie vertrauen" gesetzt werden.

SHA-1 Fingerabdruck für "DigiNotar Root CA” = 36 7D 4B 3B 4F CB BC 0B 76 7B 2E C0 CD B2 A3 6E AB 71 A4 EB
SHA-1 Fingerabdruck für "DigiNotar Services 1024 CA” = F8 A5 4E 03 AA DC 56 92 B8 50 49 6A 4C 46 30 FF EA A2 9D 83

5. Des Weiteren müssen die zwei Intermediate-Zertifikate "DigiNotar PKIoverheid CA Overheid en Bedrijven" sowie "DigiNotar PKIoverheid CA Organisatie - G2" in den System-Schlüsselbund importiert und beide auf "nie vertrauen" gesetzt werden.

SHA-1 Fingerabdruck für "DigiNotar PKIoverheid CA Overheid en Bedrijven” = 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4
SHA-1 Fingerabdruck für "DigiNotar PKIoverheid CA Organisatie - G2” = 5D E8 3E E8 2A C5 09 0A EA 9D 6A C4 E7 A6 E2 13 F9 46 E1 79

Am Ende sollten im System-Schlüsselbund 6 DigiNotar-Zertifikate vorhanden sein, welche "für alle Benutzer als nicht vertrauenswürdig" markiert sind (die Aktualisierung der Anzeige muss eventuell per Suchfeld oben rechts "angeschupst" werden).

ACHTUNG: Unter 10.5 Leopard wurden die 4 Intermediate-Zertifikate nur für den angemeldeten Benutzer als "nicht vertrauenswürdig" markiert und automatisch in den Anmelde-Schlüsselbund des angemeldeten Benutzers kopiert. Man muss diese 4 Intermediate-Zertifikate bei zusätzlichen Benutzer-Accounts also nochmals als "nicht vertrauenswürdig" markieren!

Wie sich das ganze unter 10.7 Lion verhält, kann ich mangels Test-System leider nicht sagen, es wäre nett, wenn jemand darüber berichtet.

Ein besonderer Dank an dieser Stelle an Paul Suh (sowie sierkb, der mich darauf aufmerksam gemacht hat):

PS: Marcel Bresink machte in den News-Kommentaren zur heutigen Meldung bei mactechnews allerdings noch hierauf aufmerksam:

Von DigiNotar ausgestellte Zertifikate, die mit der Eigenschaft "Extended Validation" markiert sind, werden aufgrund eines Konstruktionsfehlers in Mac OS X trotzdem immer als vertrauenswürdig angesehen, selbst wenn der Zertifizierungsstelle nicht vertraut wird.

@Marcel Bresink: Wo/wie kann ich denn überprüfen, ob diese 6 Zertifikate mit der Eigenschaft "Extended Validation" versehen sind? Oder betraf das nur das schon in Mac OS X vorinstallierte DigiNotar-root-Zertifikat, welches ja gelöscht werden soll?

Marcel_75@work
Die von Dir vorgeschlagene Methode, das von Entrust ausgestellte DigiNotar-Zertifikat mit der Prüfsumme SHA-1=367D4B3B4FCBBC0B767B2EC0CDB2A36EAB71A4EB zu importieren und dann ebenfalls als nicht vertrauenswürdig zu markieren, hat dieses Problem möglicherweise auch gelöst.

Über dieses Intermediate-Zertifikat war ein problematisches "DigiNotar Extended Validation CA"-Zertifikat ausgestellt, dem Safari immer noch vertraut hat. Es könnte sein, dass der Grund für dieses Fehlverhalten aber nicht wirklich an Mac OS X liegt, sondern daran, dass es Verwirrung gibt, weil mehrere DigiNotar Root CA-Zertifikate mit gleichem Namen aber verschiedenen Ausstellern im Umlauf sind.

Dieses Problem scheint sich seit ein paar Stunden möglicherweise auf anderem Wege gelöst zu haben, da inzwischen offenbar Entrust das obige DigiNotar-Zertifikat offiziell widerrufen hat.

Im Moment werden hinter den Kulissen reihenweise Zertifikate widerrufen und über andere Stammzertifizierungsstellen neu ausgestellt und ersetzt, so dass sich die Situation laufend ändert. Einen abschließenden Tipp kann ich deshalb nicht geben. Auch ist das Verhalten des Schlüsselbundprogramms in den verschiedenen Versionen von Mac OS X jeweils leicht unterschiedlich.

Das vorsorgliche Löschen des ursprünglichen von Apple bereitgestellten "DigiNotar Root CA"-Zertifikats ist jedenfalls nicht verkehrt.

@Marcel Bresink: Ok, vielen Dank schon mal für die Erläuterungen.

Was mir trotzdem nicht ganz klar ist: Wieso löscht man erst das Root-Zertifikat mit dem SHA-1 Fingerabdruck C0 60 ED 44 CB D8 81 BD 0E F8 6C 0B A2 87 DD CF 81 67 47 8C aus dem Root-Schlüsselbund und importiert dann ein "identisches???" (selber SHA-1 Fingerabdruck, habe es verglichen) in das System-Schlüsselbund und kennzeichnet es mit "nie vertrauen"?

Hätte man es dann nicht ebenso gut gleich vom Root-Schlüsselbund in das System-Schlüsselbund verschieben können und es dort dann auf "nie vertrauen" setzen?

ENDLICH reagierte Apple mit einem Security-Update:

APPLE-SA-2011-09-09-1 Security Update 2011-005

Security Update 2011-005 is now available and addresses the
following:

Certificate Trust Policy
Available for: Mac OS X v10.6.8, Mac OS X Server v10.6.8,
OS X Lion v10.7.1, OS X Lion Server v10.7.1
Impact: An attacker with a privileged network position may intercept
user credentials or other sensitive information
Description: Fraudulent certificates were issued by multiple
certificate authorities operated by DigiNotar. This issue is
addressed by removing DigiNotar from the list of trusted root
certificates, from the list of Extended Validation (EV) certificate
authorities, and by configuring default system trust settings so that
DigiNotar's certificates, including those issued by other
authorities, are not trusted.


For Mac OS X v10.6.8 and Mac OS X Server v10.6.8
The download file is named: SecUpd2011-005Snow.dmg
Its SHA-1 digest is: 065f5f9a9263a2cd164ea61d1d59c63b1362df0b

For OS X Lion v10.7.1 and OS X Lion Server v10.7.1
The download file is named: SecUpd2011-005Lion.dmg
Its SHA-1 digest is: a2971772c45f53dc251cdcd1dfa21a651c54f03f

Information will also be posted to the Apple Security Updates
web site:

Ok, zumindest für jailbroken devices gibt es mittlerweile wohl eine Lösung: isslfix

Gut, daß Du den Link zu http://ps-enable.com/ geschaltet hast! Da stand ausführlich (in englisch) beschrieben, wie man als Leopard- und PPC-Nutzer die kompromittierten DigiNotar-Zertifikate "neutralisieren" kann.

Denn für die Betriebssysteme Tiger 10.4 und Leopard 10.5 (Ja, die arbeiten nach wie vor!!) stellt Apple leider immer noch kein Sicherheitsupdate zur Verfügung …

Tja, das wirft tatsächlich kein gutes Licht auf Apple …

Welcher durchschnittliche Nutzer, der noch mit 10.5.x oder älter online ist, weiß schon, dass man da manuell nachhelfen muss, um die Systemsicherheit gewährleisten zu können?

Dabei wäre das ja nicht mal sonderlich komplex/kompliziert, dies auch für Leopard und Tiger umzusetzen!

Ganz zu schweigen davon, dass ältere iOS-Geräte auch nur dank Jailbreak noch mit Sicherheits-Fixes versorgt werden können (PDFPatch, iSSLFix etc.).

Und derzeit gibt es für das Zertifikats-Problem noch nicht mal eine Sicherheits-Aktualisierung für iOS offiziell von Apple.

Bedenklich stimmt mich, daß der/die angebliche(n) "Iran"-Hacker der DigiNotar-(Root-)Zertifikate somit auch in Gmail-Accounts von Landsleuten reinspitzeln können …
… und wie dort bekanntermaßen mit Oppositionellen verfahren wurde und wird, läßt Schlimmstes befürchten!

Vor diesem Hintergrund ist meiner Meinung nach das bis jetzt ausbleibende Sicherheitsupdate Apples für Tiger- und Leopard-Betriebssysteme als in hohem Grade fahrlässig zu bezeichnen.