Abo
  • Services:
Anzeige
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Erneut ist ein ohne Berechtigung ausgestelltes TLS-Zertifikat aufgetaucht. Wie Google in seinem Security-Blog berichtet, wurde dieses vor einigen Tagen offenbar von Symantec für Google.com erstellt. Das Zertifikat war nur für einen Tag gültig und wurde anscheinend von Symantec-Mitarbeitern unerlaubt zu Testzwecken erstellt. Signiert ist es mit dem Zertifikat der zu Symantec gehörenden Firma Thawte. Symantec reagierte umgehend und hat die verantwortlichen Mitarbeiter entlassen. Entdeckt wurde das Zertifikat durch das von Google entwickelte System Certificate Transparency.

Anzeige

Öffentliches Log für TLS-Zertifikate

Seit einigen Monaten verlangt Googles Chrome-Browser, dass sogenannte Extended-Validation-Zertifikate Certificate Transparency unterstützen. Die Idee des Systems: Von allen gültigen Zertifikaten soll vor ihrer Ausstellung ein Vorzertifikat in mehrere öffentliche Logs eingetragen werden. Die Logs von Certificate Transparency haben dabei eine gewisse Ähnlichkeit mit der Bitcoin-Blockchain: Die kryptographische Technologie stellt sicher, dass dort nur Zertifikate eingetragen werden können, es können aber keine entfernt werden, ohne dass es auffällt. Langfristig will Google erreichen, dass das System für alle TLS-Zertifikate genutzt wird.

Im aktuellen Fall entdeckten Google-Mitarbeiter, dass ein von Symantec ausgestelltes Vorzertifikat für Google.com in zwei Logs auftauchte. Dieses Zertifikat war aber nicht von Google beantragt worden. Gültig war es nur für einen kurzen Zeitraum vom 15. bis zum 16. September, es ist also bereits wieder abgelaufen.

Offenbar wurden neben dem Zertifikat für Google auch weitere Zertifikate unberechtigterweise ausgestellt. In einem Blogeintrag erklärt Symantec, dass für drei Domains derartige Zertifikate gefunden wurden. In allen Fällen habe Symantec den Inhaber der jeweiligen Domains inzwischen informiert. Die privaten Schlüssel seien unter Kontrolle von Symantec. Demnach seien diese Zertifikate unerlaubt von Mitarbeitern ausgestellt worden.

Laut Symantec haben die verantwortlichen Mitarbeiter bei der Ausstellung der Zertifikate gegen die eigenen Security-Policies verstoßen. Das Unternehmen hat sich daher gezwungen gesehen, die verantwortlichen Mitarbeiter zu entlassen. Um derartige Vorfälle in Zukunft zu vermeiden, will Symantec zusätzliche technische Kontrollen für entsprechend sensible Systeme einführen.

Ausschluss aus Webbrowsern wäre für Symantec fatal

Diese harsche Reaktion zeigt deutlich, wie ernst man bei Symantec den Vorfall nimmt. Vor einigen Monaten hatten sich Google und Mozilla dazu entschieden, Zertifikate der chinesischen Zertifizierungsstelle CNNIC nicht mehr zu akzeptieren. Hintergrund ist, dass Google herausgefunden hatte, dass CNNIC unberechtigterweise einer anderen Firma ein Zwischenzertifikat ausgestellt hatte, das von dieser für einen Man-in-the-Middle-Proxy eingesetzt wurde.

Würden die Zertifikate von Symantec von wichtigen Browsern nicht mehr akzeptiert werden, dürfte das für den Konzern eine finanzielle Katastrophe darstellen. Symantec ist nach Comodo die zweitgrößte Zertifizierungsstelle für TLS-Zertifikate überhaupt. Das Geschäft mit TLS-Zertifikaten hatte Symantec vor einigen Jahren von der Firma Verisign übernommen.

Dass das fälschlich ausgestellte Zertifikat durch Certificate Transparency entdeckt wurde, ist in gewisser Weise ironisch. Denn Symantec hatte sich vor zwei Jahren sehr skeptisch zu dem neuen System geäußert und insbesondere Googles Plan widersprochen, Certificate Transparency für Extended-Validation-Zertifikate schnell einzuführen.

Bislang unterstützt ausschließlich Google das Certificate-Transparency-System. Bei Mozilla gab es dazu immer wieder Diskussionen, aber noch keine klare Entscheidung für oder gegen das neue System. Es ist möglich, dass sich durch den aktuellen Vorfall mehr Browserhersteller für eine Unterstützung von Certificate Transparency entscheiden.


eye home zur Startseite
Iruwen 22. Sep 2015

Da ich damit mein Geld verdiene - gerne. Und wenn HTTPS mandatory wird werden es...

Bautz 22. Sep 2015

Ich stimme zu ... die entscheidende Frage ist doch: Wie konnte er das alleine tun...

zufälliger_Benu... 20. Sep 2015

Da hast du Vollzugriff auf das System, und anstatt die Daten direkt abzugreifen...

User_x 20. Sep 2015

Hach, sowas wie hamachi mit kumpelz ;D



Anzeige

Stellenmarkt
  1. Bosch SoftTec GmbH, Hildesheim
  2. Robert Bosch Packaging Technology GmbH, Crailsheim
  3. Heraeus infosystems GmbH, Hanau
  4. über duerenhoff GmbH, Nürtingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. 12,99€

Folgen Sie uns
       


  1. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  2. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  3. Smach Z

    PC-Handheld nutzt Ryzen V1000

  4. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  5. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  6. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  7. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  8. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  9. Media Broadcast

    Freenet TV kommt auch über Satellit

  10. Blizzard

    Update und Turnier für Warcraft 3 angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Was hier oft verwechselt wird!

    WallyPet | 18:03

  2. Re: Samsung liefert ja auch nur Hardware

    euroregistrar | 18:03

  3. Vehicle to Grid funktioniert nicht

    pointX | 18:00

  4. Re: am interessantesten ist folgender satz:

    a user | 17:59

  5. Re: Es wird Zeit für WC4

    ArcherV | 17:58


  1. 18:09

  2. 18:00

  3. 17:45

  4. 17:37

  5. 17:02

  6. 16:25

  7. 16:15

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel