• IT-Karriere:
  • Services:

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Artikel veröffentlicht am , Hanno Böck
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Erneut ist ein ohne Berechtigung ausgestelltes TLS-Zertifikat aufgetaucht. Wie Google in seinem Security-Blog berichtet, wurde dieses vor einigen Tagen offenbar von Symantec für Google.com erstellt. Das Zertifikat war nur für einen Tag gültig und wurde anscheinend von Symantec-Mitarbeitern unerlaubt zu Testzwecken erstellt. Signiert ist es mit dem Zertifikat der zu Symantec gehörenden Firma Thawte. Symantec reagierte umgehend und hat die verantwortlichen Mitarbeiter entlassen. Entdeckt wurde das Zertifikat durch das von Google entwickelte System Certificate Transparency.

Öffentliches Log für TLS-Zertifikate

Stellenmarkt
  1. ARIBYTE GmbH, Berlin
  2. Celler Land Frischgeflügel GmbH & Co. KG, Wietze

Seit einigen Monaten verlangt Googles Chrome-Browser, dass sogenannte Extended-Validation-Zertifikate Certificate Transparency unterstützen. Die Idee des Systems: Von allen gültigen Zertifikaten soll vor ihrer Ausstellung ein Vorzertifikat in mehrere öffentliche Logs eingetragen werden. Die Logs von Certificate Transparency haben dabei eine gewisse Ähnlichkeit mit der Bitcoin-Blockchain: Die kryptographische Technologie stellt sicher, dass dort nur Zertifikate eingetragen werden können, es können aber keine entfernt werden, ohne dass es auffällt. Langfristig will Google erreichen, dass das System für alle TLS-Zertifikate genutzt wird.

Im aktuellen Fall entdeckten Google-Mitarbeiter, dass ein von Symantec ausgestelltes Vorzertifikat für Google.com in zwei Logs auftauchte. Dieses Zertifikat war aber nicht von Google beantragt worden. Gültig war es nur für einen kurzen Zeitraum vom 15. bis zum 16. September, es ist also bereits wieder abgelaufen.

Offenbar wurden neben dem Zertifikat für Google auch weitere Zertifikate unberechtigterweise ausgestellt. In einem Blogeintrag erklärt Symantec, dass für drei Domains derartige Zertifikate gefunden wurden. In allen Fällen habe Symantec den Inhaber der jeweiligen Domains inzwischen informiert. Die privaten Schlüssel seien unter Kontrolle von Symantec. Demnach seien diese Zertifikate unerlaubt von Mitarbeitern ausgestellt worden.

Laut Symantec haben die verantwortlichen Mitarbeiter bei der Ausstellung der Zertifikate gegen die eigenen Security-Policies verstoßen. Das Unternehmen hat sich daher gezwungen gesehen, die verantwortlichen Mitarbeiter zu entlassen. Um derartige Vorfälle in Zukunft zu vermeiden, will Symantec zusätzliche technische Kontrollen für entsprechend sensible Systeme einführen.

Ausschluss aus Webbrowsern wäre für Symantec fatal

Diese harsche Reaktion zeigt deutlich, wie ernst man bei Symantec den Vorfall nimmt. Vor einigen Monaten hatten sich Google und Mozilla dazu entschieden, Zertifikate der chinesischen Zertifizierungsstelle CNNIC nicht mehr zu akzeptieren. Hintergrund ist, dass Google herausgefunden hatte, dass CNNIC unberechtigterweise einer anderen Firma ein Zwischenzertifikat ausgestellt hatte, das von dieser für einen Man-in-the-Middle-Proxy eingesetzt wurde.

Würden die Zertifikate von Symantec von wichtigen Browsern nicht mehr akzeptiert werden, dürfte das für den Konzern eine finanzielle Katastrophe darstellen. Symantec ist nach Comodo die zweitgrößte Zertifizierungsstelle für TLS-Zertifikate überhaupt. Das Geschäft mit TLS-Zertifikaten hatte Symantec vor einigen Jahren von der Firma Verisign übernommen.

Dass das fälschlich ausgestellte Zertifikat durch Certificate Transparency entdeckt wurde, ist in gewisser Weise ironisch. Denn Symantec hatte sich vor zwei Jahren sehr skeptisch zu dem neuen System geäußert und insbesondere Googles Plan widersprochen, Certificate Transparency für Extended-Validation-Zertifikate schnell einzuführen.

Bislang unterstützt ausschließlich Google das Certificate-Transparency-System. Bei Mozilla gab es dazu immer wieder Diskussionen, aber noch keine klare Entscheidung für oder gegen das neue System. Es ist möglich, dass sich durch den aktuellen Vorfall mehr Browserhersteller für eine Unterstützung von Certificate Transparency entscheiden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Iruwen 22. Sep 2015

Da ich damit mein Geld verdiene - gerne. Und wenn HTTPS mandatory wird werden es...

Bautz 22. Sep 2015

Ich stimme zu ... die entscheidende Frage ist doch: Wie konnte er das alleine tun...

zufälliger_Benu... 20. Sep 2015

Da hast du Vollzugriff auf das System, und anstatt die Daten direkt abzugreifen...

User_x 20. Sep 2015

Hach, sowas wie hamachi mit kumpelz ;D


Folgen Sie uns
       


Motorola Razr (2019) - Hands on

Das neue Motorola Razr lässt sich wie das alte Razr V3 zusammenklappen - das Display ist allerdings faltbar und geht über die gesamte Innenfläche des Smartphones.

Motorola Razr (2019) - Hands on Video aufrufen
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /