Abo
  • Services:
Anzeige
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Anzeige

Erneut ist ein ohne Berechtigung ausgestelltes TLS-Zertifikat aufgetaucht. Wie Google in seinem Security-Blog berichtet, wurde dieses vor einigen Tagen offenbar von Symantec für Google.com erstellt. Das Zertifikat war nur für einen Tag gültig und wurde anscheinend von Symantec-Mitarbeitern unerlaubt zu Testzwecken erstellt. Signiert ist es mit dem Zertifikat der zu Symantec gehörenden Firma Thawte. Symantec reagierte umgehend und hat die verantwortlichen Mitarbeiter entlassen. Entdeckt wurde das Zertifikat durch das von Google entwickelte System Certificate Transparency.

Öffentliches Log für TLS-Zertifikate

Seit einigen Monaten verlangt Googles Chrome-Browser, dass sogenannte Extended-Validation-Zertifikate Certificate Transparency unterstützen. Die Idee des Systems: Von allen gültigen Zertifikaten soll vor ihrer Ausstellung ein Vorzertifikat in mehrere öffentliche Logs eingetragen werden. Die Logs von Certificate Transparency haben dabei eine gewisse Ähnlichkeit mit der Bitcoin-Blockchain: Die kryptographische Technologie stellt sicher, dass dort nur Zertifikate eingetragen werden können, es können aber keine entfernt werden, ohne dass es auffällt. Langfristig will Google erreichen, dass das System für alle TLS-Zertifikate genutzt wird.

Im aktuellen Fall entdeckten Google-Mitarbeiter, dass ein von Symantec ausgestelltes Vorzertifikat für Google.com in zwei Logs auftauchte. Dieses Zertifikat war aber nicht von Google beantragt worden. Gültig war es nur für einen kurzen Zeitraum vom 15. bis zum 16. September, es ist also bereits wieder abgelaufen.

Offenbar wurden neben dem Zertifikat für Google auch weitere Zertifikate unberechtigterweise ausgestellt. In einem Blogeintrag erklärt Symantec, dass für drei Domains derartige Zertifikate gefunden wurden. In allen Fällen habe Symantec den Inhaber der jeweiligen Domains inzwischen informiert. Die privaten Schlüssel seien unter Kontrolle von Symantec. Demnach seien diese Zertifikate unerlaubt von Mitarbeitern ausgestellt worden.

Laut Symantec haben die verantwortlichen Mitarbeiter bei der Ausstellung der Zertifikate gegen die eigenen Security-Policies verstoßen. Das Unternehmen hat sich daher gezwungen gesehen, die verantwortlichen Mitarbeiter zu entlassen. Um derartige Vorfälle in Zukunft zu vermeiden, will Symantec zusätzliche technische Kontrollen für entsprechend sensible Systeme einführen.

Ausschluss aus Webbrowsern wäre für Symantec fatal

Diese harsche Reaktion zeigt deutlich, wie ernst man bei Symantec den Vorfall nimmt. Vor einigen Monaten hatten sich Google und Mozilla dazu entschieden, Zertifikate der chinesischen Zertifizierungsstelle CNNIC nicht mehr zu akzeptieren. Hintergrund ist, dass Google herausgefunden hatte, dass CNNIC unberechtigterweise einer anderen Firma ein Zwischenzertifikat ausgestellt hatte, das von dieser für einen Man-in-the-Middle-Proxy eingesetzt wurde.

Würden die Zertifikate von Symantec von wichtigen Browsern nicht mehr akzeptiert werden, dürfte das für den Konzern eine finanzielle Katastrophe darstellen. Symantec ist nach Comodo die zweitgrößte Zertifizierungsstelle für TLS-Zertifikate überhaupt. Das Geschäft mit TLS-Zertifikaten hatte Symantec vor einigen Jahren von der Firma Verisign übernommen.

Dass das fälschlich ausgestellte Zertifikat durch Certificate Transparency entdeckt wurde, ist in gewisser Weise ironisch. Denn Symantec hatte sich vor zwei Jahren sehr skeptisch zu dem neuen System geäußert und insbesondere Googles Plan widersprochen, Certificate Transparency für Extended-Validation-Zertifikate schnell einzuführen.

Bislang unterstützt ausschließlich Google das Certificate-Transparency-System. Bei Mozilla gab es dazu immer wieder Diskussionen, aber noch keine klare Entscheidung für oder gegen das neue System. Es ist möglich, dass sich durch den aktuellen Vorfall mehr Browserhersteller für eine Unterstützung von Certificate Transparency entscheiden.


eye home zur Startseite
Iruwen 22. Sep 2015

Da ich damit mein Geld verdiene - gerne. Und wenn HTTPS mandatory wird werden es...

Bautz 22. Sep 2015

Ich stimme zu ... die entscheidende Frage ist doch: Wie konnte er das alleine tun...

zufälliger_Benu... 20. Sep 2015

Da hast du Vollzugriff auf das System, und anstatt die Daten direkt abzugreifen...

User_x 20. Sep 2015

Hach, sowas wie hamachi mit kumpelz ;D



Anzeige

Stellenmarkt
  1. über Baumann Unternehmensberatung AG, Raum Stuttgart
  2. Katholische Universität Eichstätt-Ingolstadt, Eichstätt
  3. über Ratbacher GmbH, Hamburg
  4. Zweckverband Kommunale Informationsverarbeitung Baden-Franken, Karlsruhe, Freiburg


Anzeige
Top-Angebote
  1. (u. a. 5€ Gratis-PSN-Guthaben zur PlayStation-Plus-Mitgliedschaft)
  2. Gratis H3 Headset by B&O beim Kauf des LG G5 Smartphones

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Big-Jim-Sammelfiguren: Ebay-Verkäufer sind ehrlich geworden
Big-Jim-Sammelfiguren
Ebay-Verkäufer sind ehrlich geworden
  1. Marktplatz Ebay Deutschland verkauft 80 Prozent Neuwaren

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Eigentlich reicht auch der Entzug der...

    stoneburner | 19:23

  2. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 19:20

  3. Macht viel Sinn

    chithanh | 19:17

  4. Re: Uuund raus

    Squirrelchen | 19:11

  5. Re: Nö.

    NativesAlter | 19:10


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel