[l] Google hat mal wieder ein MitM-Zertifikat für google.com aus dem Verkehr gezogen. Der Hammer dieses Mal: Das war von einem Unter-CA-Schlüssel ausgestellt, der selber von einer französischen Regierungs-CA signiert war. Der Unter-CA-Schlüssel ging an das Finanzministerium und war da laut der Fremdschäm-Pressemitteilung der CA (der Name der CA sieht für mich so aus als wäre das deren BSI-Äquivalent) durch menschliches Versagen für Domains außerhalb des Finanzministeriums verwendet worden. Daher hat die CA jetzt den Unter-CA-Schlüssel für ungültig erklärt.Angeblich, so die Google-Presseerklärung, sei der Schlüssel nur "für internen Gebrauch" und mit Einverständnis der so Ausspionierten eingesetzt worden. Ja nee, klar.
Aber überlegt euch doch mal, woher Google dann überhaupt mitgekriegt hat, dass es da einen MitM-Schlüssel gibt? Ob die sich einen Seitenkanal geschaffen haben, der bei Zertifikats-Pinning-Verletzungen Alarm schlägt und Details an Google meldet? Sehr spannend jedenfalls.