Abo
  • Services:
Anzeige
Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis.
Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis. (Bild: LPS.1/Wikimedia Commons/CC0)

TLS-Zertifikate: Google greift gegen Symantec durch

Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis.
Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis. (Bild: LPS.1/Wikimedia Commons/CC0)

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

Anzeige

Google ist unzufrieden mit Symantecs Umgang mit einem Vorfall, bei dem zahlreiche TLS-Zertifikate für verschlüsselte Verbindungen unberechtigterweise ausgestellt wurden. Zunächst hatte Symantec in einem Bericht die Ausstellung von insgesamt 23 Zertifikaten zugegeben. Tatsächlich jedoch handelte es sich um über 2.000 Zertifikate. Google stellt nun eine Reihe von Bedingungen an Symantec, darunter eine unabhängige Untersuchung des Vorfalls und die Implementierung des Certificate-Transparency-Systems für künftige Zertifikate.

Im September hatte Google in einem Blogeintrag bekanntgegeben, dass in den Logs des Certificate-Transparency-Systems ein Vorzertifikat für die Domain google.com aufgetaucht war, das von Symantec ausgestellt wurde. Symantec stellte die Sachlage später in einem Bericht anders dar, demnach habe Symantec selbst die unberechtigte Ausstellung von Zertifikaten bemerkt und die Öffentlichkeit informiert. In diesem Bericht war zunächst die Rede davon, dass insgesamt 23 Zertifikate unberechtigterweise ausgestellt wurden. Laut Symantec hatten alle Zertifikate nur eine kurze Gültigkeit und zu keinem Zeitpunkt hätten unberechtigte Personen Kontrolle über die privaten Schlüssel gehabt. Die Mitarbeiter, die für die Ausstellung der Zertifikate zuständig waren, hat Symantec nach eigenen Angaben inzwischen entlassen.

Erst 23 unberechtigte Zertifikate, dann über 2.000

Nach der Veröffentlichung dieses Berichts hatte Google selbst die Certificate-Transparency-Logs erneut überprüft und fand zahlreiche weitere unberechtigt ausgestellte Zertifikate. Daraufhin aktualisierte Symantec seinen Bericht. Nun ist dort von 76 Zertifikaten für gültige Domains und weiteren 2.458 Zertifikaten für überhaupt nicht registrierte Domains die Rede. Seit April 2014 sehen die sogenannten Baseline Requirements des CA/Browser-Forums - ein Regelwerk für den Betrieb von TLS-Zertifizierungsstellen - vor, dass die Ausstellung von Zertifikaten für nicht existierende Domains nicht erlaubt ist.

Google ist von Symantecs Vorgehen wenig begeistert. "Es ist offensichtlich beunruhigend, dass eine Zertifizierungsstelle so lange Probleme hat und dass sie nicht in der Lage ist, das Ausmaß festzustellen, nachdem sie alarmiert wurden und einen Audit durchgeführt haben", schreibt Google-Entwickler Ryan Sleevi dazu in einem Blogpost des Google-Sicherheitsteams.

Certificate Transparency für alle Zertifikate

Google stellt nun eine Reihe von Bedingungen an Symantec. Ab Juni 2016 müssen sämtliche Zertifikate von Symantec Certificate Transparency unterstützen. Das Certificate-Transparency-System sieht vor, dass sämtliche Zertifikate, die ausgestellt werden, vorab in einem öffentlichen Log abgelegt werden. Diese Logs sind technisch so ausgestaltet, dass dort Daten nur hinzugefügt werden können und die korrekte Funktionsweise unabhängig überprüft werden kann. Damit soll verhindert werden, dass dort nachträglich Daten entfernt oder geändert werden. Bisher verlangt Google die Nutzung von Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate.

Weiterhin verlangt Google, dass Symantec seine Verfahren einem unabhängigen Audit unterzieht. Zertifizierungsstellen müssen regelmäßig einen derartigen Audit durchführen lassen, doch Google verlangt in diesem Fall einen außerplanmäßigen Audit. Dabei soll insbesondere überprüft werden, ob die Aussage von Symantec, dass private Schlüssel nicht in die Hände Dritter gelangten, korrekt ist und ob die Tools von Symantec so gestaltet sind, dass die dort arbeitenden Mitarbeiter nicht in Besitz dieser privaten Schlüssel gelangen konnten.

Google behält sich weitere Maßnahmen vor, sobald mehr Informationen zu dem Vorfall vorliegen. Auch wenn Google das nicht explizit schreibt, dürfte klar sein, dass sich der Konzern auch vorbehält, künftig Symantecs Zertifikate im Chrome-Browser nicht mehr zu akzeptieren. In einem früheren Fall - bei der chinesischen Zertifizierungsstelle CNNIC - hatten sowohl Google als auch Mozilla genau das gemacht. Auch von CNNIC fordert Google die Umsetzung des Certificate-Transparency-Systems als Voraussetzung für eine mögliche Wiederaufnahme in den Browser.

Rauswurf aus Browser würde Zertifikatsgeschäft beenden

Aus einer Stellungnahme von Symantec, die die Webseite Ars Technica veröffentlicht hat, geht hervor, dass man dort offenbar alle von Google gestellten Forderungen erfüllen möchte. Symantec hat auch wenig andere Möglichkeiten. Sollte sich ein großer Browserhersteller entscheiden, Symantecs Zertifikate nicht mehr zu akzeptieren, dürfte das das Ende von Symantecs Zertifikatsgeschäft sein. Symantec hatte den Verkauf von TLS-Zertifikaten vor einigen Jahren von der Firma Verisign übernommen und ist nach Comodo die zurzeit zweitgrößte Zertifizierungsstelle für TLS-Zertifikate.


eye home zur Startseite
elgooG 02. Nov 2015

Ja unter Windows verwenden sie den vom OS, allerdings führt Google Chrome eine eigene...



Anzeige

Stellenmarkt
  1. Bundesdruckerei GmbH, Berlin
  2. operational services GmbH & Co. KG, Braunschweig, Berlin
  3. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  4. operational services GmbH & Co. KG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. 13,98€ + 5,00€ Versand
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  2. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  3. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  4. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  5. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  6. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  7. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  8. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  9. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  10. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Warum überhaupt VLC nutzen

    __destruct() | 12:46

  2. Re: Ich werd es mir wohl kaufen oder gibt es...

    ArcherV | 12:45

  3. Re: 700$ - Ich hätte da eine bessere Lösung...

    ArcherV | 12:44

  4. Re: Realitätsflucht

    plutoniumsulfat | 12:42

  5. Re: Für Vermögende die kreativ sein wollen..

    Evron | 12:25


  1. 10:10

  2. 09:59

  3. 09:00

  4. 18:58

  5. 18:20

  6. 17:59

  7. 17:44

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel