Abo
  • Services:
Anzeige
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf.
Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google)

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Anzeige

Erneut ist ein ohne Berechtigung ausgestelltes TLS-Zertifikat aufgetaucht. Wie Google in seinem Security-Blog berichtet, wurde dieses vor einigen Tagen offenbar von Symantec für Google.com erstellt. Das Zertifikat war nur für einen Tag gültig und wurde anscheinend von Symantec-Mitarbeitern unerlaubt zu Testzwecken erstellt. Signiert ist es mit dem Zertifikat der zu Symantec gehörenden Firma Thawte. Symantec reagierte umgehend und hat die verantwortlichen Mitarbeiter entlassen. Entdeckt wurde das Zertifikat durch das von Google entwickelte System Certificate Transparency.

Öffentliches Log für TLS-Zertifikate

Seit einigen Monaten verlangt Googles Chrome-Browser, dass sogenannte Extended-Validation-Zertifikate Certificate Transparency unterstützen. Die Idee des Systems: Von allen gültigen Zertifikaten soll vor ihrer Ausstellung ein Vorzertifikat in mehrere öffentliche Logs eingetragen werden. Die Logs von Certificate Transparency haben dabei eine gewisse Ähnlichkeit mit der Bitcoin-Blockchain: Die kryptographische Technologie stellt sicher, dass dort nur Zertifikate eingetragen werden können, es können aber keine entfernt werden, ohne dass es auffällt. Langfristig will Google erreichen, dass das System für alle TLS-Zertifikate genutzt wird.

Im aktuellen Fall entdeckten Google-Mitarbeiter, dass ein von Symantec ausgestelltes Vorzertifikat für Google.com in zwei Logs auftauchte. Dieses Zertifikat war aber nicht von Google beantragt worden. Gültig war es nur für einen kurzen Zeitraum vom 15. bis zum 16. September, es ist also bereits wieder abgelaufen.

Offenbar wurden neben dem Zertifikat für Google auch weitere Zertifikate unberechtigterweise ausgestellt. In einem Blogeintrag erklärt Symantec, dass für drei Domains derartige Zertifikate gefunden wurden. In allen Fällen habe Symantec den Inhaber der jeweiligen Domains inzwischen informiert. Die privaten Schlüssel seien unter Kontrolle von Symantec. Demnach seien diese Zertifikate unerlaubt von Mitarbeitern ausgestellt worden.

Laut Symantec haben die verantwortlichen Mitarbeiter bei der Ausstellung der Zertifikate gegen die eigenen Security-Policies verstoßen. Das Unternehmen hat sich daher gezwungen gesehen, die verantwortlichen Mitarbeiter zu entlassen. Um derartige Vorfälle in Zukunft zu vermeiden, will Symantec zusätzliche technische Kontrollen für entsprechend sensible Systeme einführen.

Ausschluss aus Webbrowsern wäre für Symantec fatal

Diese harsche Reaktion zeigt deutlich, wie ernst man bei Symantec den Vorfall nimmt. Vor einigen Monaten hatten sich Google und Mozilla dazu entschieden, Zertifikate der chinesischen Zertifizierungsstelle CNNIC nicht mehr zu akzeptieren. Hintergrund ist, dass Google herausgefunden hatte, dass CNNIC unberechtigterweise einer anderen Firma ein Zwischenzertifikat ausgestellt hatte, das von dieser für einen Man-in-the-Middle-Proxy eingesetzt wurde.

Würden die Zertifikate von Symantec von wichtigen Browsern nicht mehr akzeptiert werden, dürfte das für den Konzern eine finanzielle Katastrophe darstellen. Symantec ist nach Comodo die zweitgrößte Zertifizierungsstelle für TLS-Zertifikate überhaupt. Das Geschäft mit TLS-Zertifikaten hatte Symantec vor einigen Jahren von der Firma Verisign übernommen.

Dass das fälschlich ausgestellte Zertifikat durch Certificate Transparency entdeckt wurde, ist in gewisser Weise ironisch. Denn Symantec hatte sich vor zwei Jahren sehr skeptisch zu dem neuen System geäußert und insbesondere Googles Plan widersprochen, Certificate Transparency für Extended-Validation-Zertifikate schnell einzuführen.

Bislang unterstützt ausschließlich Google das Certificate-Transparency-System. Bei Mozilla gab es dazu immer wieder Diskussionen, aber noch keine klare Entscheidung für oder gegen das neue System. Es ist möglich, dass sich durch den aktuellen Vorfall mehr Browserhersteller für eine Unterstützung von Certificate Transparency entscheiden.


eye home zur Startseite
Iruwen 22. Sep 2015

Da ich damit mein Geld verdiene - gerne. Und wenn HTTPS mandatory wird werden es...

Bautz 22. Sep 2015

Ich stimme zu ... die entscheidende Frage ist doch: Wie konnte er das alleine tun...

zufälliger_Benu... 20. Sep 2015

Da hast du Vollzugriff auf das System, und anstatt die Daten direkt abzugreifen...

User_x 20. Sep 2015

Hach, sowas wie hamachi mit kumpelz ;D



Anzeige

Stellenmarkt
  1. Regierungspräsidium Freiburg, Freiburg
  2. TUI AG, Hannover
  3. Voith Digital Solutions GmbH, Heidenheim
  4. TUI Cruises GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

  1. Völliger Schwachsinn

    Signator | 05:42

  2. Bei der KI würde ich mich fragen wer davon...

    Signator | 05:25

  3. Re: ... Kabel Deutschland schon heute ausschlie...

    GenXRoad | 04:58

  4. Re: 1400W... für welche Hardware?

    Ach | 04:49

  5. Virtual Reality News zur Rift scheinen niemand...

    motzerator | 04:33


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel