Abo
  • Services:
Anzeige
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Anzeige

Erneut ist ein ohne Berechtigung ausgestelltes TLS-Zertifikat aufgetaucht. Wie Google in seinem Security-Blog berichtet, wurde dieses vor einigen Tagen offenbar von Symantec für Google.com erstellt. Das Zertifikat war nur für einen Tag gültig und wurde anscheinend von Symantec-Mitarbeitern unerlaubt zu Testzwecken erstellt. Signiert ist es mit dem Zertifikat der zu Symantec gehörenden Firma Thawte. Symantec reagierte umgehend und hat die verantwortlichen Mitarbeiter entlassen. Entdeckt wurde das Zertifikat durch das von Google entwickelte System Certificate Transparency.

Öffentliches Log für TLS-Zertifikate

Seit einigen Monaten verlangt Googles Chrome-Browser, dass sogenannte Extended-Validation-Zertifikate Certificate Transparency unterstützen. Die Idee des Systems: Von allen gültigen Zertifikaten soll vor ihrer Ausstellung ein Vorzertifikat in mehrere öffentliche Logs eingetragen werden. Die Logs von Certificate Transparency haben dabei eine gewisse Ähnlichkeit mit der Bitcoin-Blockchain: Die kryptographische Technologie stellt sicher, dass dort nur Zertifikate eingetragen werden können, es können aber keine entfernt werden, ohne dass es auffällt. Langfristig will Google erreichen, dass das System für alle TLS-Zertifikate genutzt wird.

Im aktuellen Fall entdeckten Google-Mitarbeiter, dass ein von Symantec ausgestelltes Vorzertifikat für Google.com in zwei Logs auftauchte. Dieses Zertifikat war aber nicht von Google beantragt worden. Gültig war es nur für einen kurzen Zeitraum vom 15. bis zum 16. September, es ist also bereits wieder abgelaufen.

Offenbar wurden neben dem Zertifikat für Google auch weitere Zertifikate unberechtigterweise ausgestellt. In einem Blogeintrag erklärt Symantec, dass für drei Domains derartige Zertifikate gefunden wurden. In allen Fällen habe Symantec den Inhaber der jeweiligen Domains inzwischen informiert. Die privaten Schlüssel seien unter Kontrolle von Symantec. Demnach seien diese Zertifikate unerlaubt von Mitarbeitern ausgestellt worden.

Laut Symantec haben die verantwortlichen Mitarbeiter bei der Ausstellung der Zertifikate gegen die eigenen Security-Policies verstoßen. Das Unternehmen hat sich daher gezwungen gesehen, die verantwortlichen Mitarbeiter zu entlassen. Um derartige Vorfälle in Zukunft zu vermeiden, will Symantec zusätzliche technische Kontrollen für entsprechend sensible Systeme einführen.

Ausschluss aus Webbrowsern wäre für Symantec fatal

Diese harsche Reaktion zeigt deutlich, wie ernst man bei Symantec den Vorfall nimmt. Vor einigen Monaten hatten sich Google und Mozilla dazu entschieden, Zertifikate der chinesischen Zertifizierungsstelle CNNIC nicht mehr zu akzeptieren. Hintergrund ist, dass Google herausgefunden hatte, dass CNNIC unberechtigterweise einer anderen Firma ein Zwischenzertifikat ausgestellt hatte, das von dieser für einen Man-in-the-Middle-Proxy eingesetzt wurde.

Würden die Zertifikate von Symantec von wichtigen Browsern nicht mehr akzeptiert werden, dürfte das für den Konzern eine finanzielle Katastrophe darstellen. Symantec ist nach Comodo die zweitgrößte Zertifizierungsstelle für TLS-Zertifikate überhaupt. Das Geschäft mit TLS-Zertifikaten hatte Symantec vor einigen Jahren von der Firma Verisign übernommen.

Dass das fälschlich ausgestellte Zertifikat durch Certificate Transparency entdeckt wurde, ist in gewisser Weise ironisch. Denn Symantec hatte sich vor zwei Jahren sehr skeptisch zu dem neuen System geäußert und insbesondere Googles Plan widersprochen, Certificate Transparency für Extended-Validation-Zertifikate schnell einzuführen.

Bislang unterstützt ausschließlich Google das Certificate-Transparency-System. Bei Mozilla gab es dazu immer wieder Diskussionen, aber noch keine klare Entscheidung für oder gegen das neue System. Es ist möglich, dass sich durch den aktuellen Vorfall mehr Browserhersteller für eine Unterstützung von Certificate Transparency entscheiden.


eye home zur Startseite
Iruwen 22. Sep 2015

Da ich damit mein Geld verdiene - gerne. Und wenn HTTPS mandatory wird werden es...

Bautz 22. Sep 2015

Ich stimme zu ... die entscheidende Frage ist doch: Wie konnte er das alleine tun...

zufälliger_Benu... 20. Sep 2015

Da hast du Vollzugriff auf das System, und anstatt die Daten direkt abzugreifen...

User_x 20. Sep 2015

Hach, sowas wie hamachi mit kumpelz ;D



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  3. Schwarz Dienstleistung KG, Neckarsulm
  4. Techcos GmbH über ACADEMIC WORK, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Legend of Tarzan, Mad Max: Fury Road, Der Hobbit, Gravity)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Instandsetzung

    Apple macht iPhone-Reparaturen teurer

  2. Energielabels

    Aus A+++ wird nur noch A

  3. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  4. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  5. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  6. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  7. Ab 2018

    Cebit findet künftig im Sommer statt

  8. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  9. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  10. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Countdown für Andromeda
  2. Mass Effect 4 Ansel und Early Access für Andromeda
  3. Mass Effect Abflugtermin in die Andromedagalaxie

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: daten zu einer sache machen...

    User_x | 07:19

  2. Re: Wenn ich tatsächlich 45.000 verdienen würde

    Jonsch | 07:15

  3. Re: schöne Sache

    MrReset | 07:13

  4. Re: Widerlich

    User_x | 07:12

  5. Re: Braucht man das? (Ernst gemeinte Frage)

    Helites | 07:11


  1. 07:16

  2. 18:59

  3. 18:42

  4. 18:06

  5. 17:39

  6. 17:10

  7. 16:46

  8. 16:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel