Abo
  • Services:

TLS-Zertifikate: Symantec verpeilt es schon wieder

Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

Artikel veröffentlicht am , Hanno Böck
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

Offenbar in einer ganzen Reihe von Fällen hat die Zertifizierungsstelle Symantec unberechtigterweise Test-Zertifikate für diverse Domains erstellt. Das berichtet Andrew Ayer von der Firma SSLMate auf der Security-Policy-Mailingliste von Mozilla. Die Zertifikate fand Ayer über die Logs des Certificate-Transparency-Systems.

Vom Besitzer der Domain nicht beantragte Zertifikate

Stellenmarkt
  1. AIXTRON SE, Aachen
  2. vwd - Vereinigte Wirtschaftsdienste GmbH, Rimpar, Kaiserslautern, Frankfurt

Im Juli 2016 wurden insgesamt vier Zertifikate für die Domain example.com ausgestellt. Diese Domain wird von der ICANN betrieben. Ayer schreibt, er habe bei der ICANN nachgefragt, die Zertifikate seien nicht von dort beantragt worden. Die example.com-Webseite nutzt ein Zertifikat von Digicert.

Diese vier Zertifikate sind bereits zurückgezogen. Laut Ayer waren sie das bereits, als er darauf stieß. Das könnte Symantec in Erklärungsnot bringen, denn es ist damit anzunehmen, dass man dort bereits über die unberechtigte Ausstellung Bescheid wusste. Falls eine Zertifizierungsstelle fälschlicherweise Zertifikate ausstellt, sollte diese im Normalfall selbst die Öffentlichkeit und die Browserhersteller darüber informieren.

Eine Reihe von weiteren Zertifikaten wurde für diverse Varianten des Wortes "Test" erstellt. So gibt es zahlreiche Zertifikate, die als Organisation und als Ort "Test" eingetragen haben. "Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt", meint Ayer, der jedoch schreibt, dass er in diesen Fällen die Domaininhaber nicht kontaktiert habe.

Einige der betreffenden Zertifikate sind für die Domain test.com ausgestellt, ein Zertifikat enthält die Domainnamen test.com, test1.com bis test9.com und test11.com. Diese Domains gehören fast alle unterschiedlichen Personen, daher ist laut Ayer nicht davon auszugehen, dass die Inhaber dieses Zertifikat beantragt hätten. Auch für diverse andere Domains wurden Zertifikate erstellt, bei denen als Organisation und Ort "Test" eingetragen war.

Weiterhin wurde keines dieser Zertifikate von der Censys-Zertifikatssuchmaschine je auf Webservern in Benutzung gesehen, was ebenfalls deutlich darauf hindeutet, dass es sich nicht um legitime Zertifikate handelt.

Google hat Symantec bereits einmal verwarnt

Für Symantec könnte dieser Vorfall unangenehm werden. Denn die Zertifizierungsstelle steht schon unter besonderer Beobachtung. Im September 2015 hatte Google festgestellt, dass Symantec unberechtigterweise Testzertifikate für google.com ausgestellt hatte. Danach hatte Symantec zunächst versucht, den Vorfall herunterzuspielen und angegeben, dass nur einige wenige Zertifikate versehentlich ausgestellt worden seien. Aus den Certificate-Transparency-Logs ging jedoch hervor, dass deutlich mehr Zertifikate betroffen waren.

Google stellte daraufhin einige Bedingungen an Symantec. So sollte Symantec künftig alle Zertifikate im Certificate-Transparency-Log hinterlegen und außerdem einen zusätzlichen Audit durchführen, der die Arbeitsweisen bei Symantec überprüft. Google-Entwickler Ryan Sleevi kündigte damals bereits an, dass man sich weitere Maßnahmen vorbehalte, wenn weitere Informationen bekannt würden.

Nun wird Symantec erklären müssen, wieso trotz der Vorfälle von 2015 keine Maßnahmen ergriffen wurden, um die Ausstellung von unberechtigten Test-Zertifikaten zu unterbinden.

Wenn eine Zertifizierungsstelle wiederholt Regeln verletzt, können sich die Browserhersteller dazu entschließen, dieser das Vertrauen zu entziehen und ihre Zertifikate künftig nicht mehr akzeptieren. Das ist keine leere Drohung. Zuletzt flogen die Zertifizierungsstellen Wosign und Startcom aus den Browsern - wegen zahlreicher Regelverletzungen, und weil die Verantwortlichen nachweislich mehrfach bei der versuchten Aufklärung gelogen hatten.

Nachtrag vom 23. Januar 2017, 13:20 Uhr

In einer Stellungnahme erklärte Symantec, dass die Zertifikate durch einen Partner ausgestellt wurden und Symantec vor der Mail von Andrew Ayer nichts von dem Vorfall wusste.

Die meisten der Zertifikate waren laut Symantec zu diesem Zeitpunkt bereits zurückgezogen. Alle übrigen Zertifikate habe Symantec innerhalb einer Frist von 24 Stunden ebenfalls zurückgezogen.

Wir haben diese Angaben überprüft. Über die Certificate-Transparency-Logs findet man 114 Zertifikate, die für die Organisation "test" ausgestellt wurden. Diese wurden von vier verschiedenen Zertifizierungsstellen ausgestellt. Davon wurden 62 bereits im Jahr 2016 zurückgezogen. 52 wurden am 20. Januar zurückgezogen, also kurz nach dem Vorfall.



Anzeige
Top-Angebote
  1. (u. a. ROG Rapture GT-AC5300 + Black Ops 4 für 303,20€ + Versand statt 345€ im Vergleich, RT...
  2. 79,90€ + Versand (Bestpreis!)
  3. (u. a. GTA V für 16,82€ und The Elder Scrolls Online: Morrowind für 8,99€)
  4. 284,90€ statt über 320€ im Vergleich (+ 50€ Rabatt bei 0%-Finanzierung und Gutschein: NAS-50)

My1 23. Jan 2017

https://crt.sh/?o=test&dir=^&sort=2&group=none andere CAs haben scheinbar auch testcerts...

Schattenwerk 22. Jan 2017

Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert...

elf 21. Jan 2017

Startcom!=startssl !

My1 21. Jan 2017

EV Zertifikate sind aufgrund der Grünen Leiste an extrem hohe anforderungen geknüpft. 1...


Folgen Sie uns
       


Battlefield 5 Open Beta - Golem.de live

Ein Squad voller Golems philosophiert über Raytracing, PC-Konfigurationen und alles, was noch nicht so funktioniert, im Livestream zur Battlefield 5 Open Beta.

Battlefield 5 Open Beta - Golem.de live Video aufrufen
Virtuelle Realität: Skin-Handel auf Basis von Blockchain
Virtuelle Realität
Skin-Handel auf Basis von Blockchain

Vlad Panchenko hat als Gaming-Unternehmer Millionen gemacht. Jetzt entwickelt er ein neues Blockchain-Protokoll. Heute kann man darüber In-Game Items sicher handeln, in der anrückenden VR-Zukunft aber alles, wie er glaubt.
Ein Interview von Sebastian Gluschak

  1. Digital Asset Google und Startup bieten Blockchain-Programmiersprache an
  2. Illegale Inhalte Die Blockchain enthält Missbrauchsdarstellungen

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Logitechs MX Vertical im Test: So teuer muss eine gute vertikale Maus nicht sein
Logitechs MX Vertical im Test
So teuer muss eine gute vertikale Maus nicht sein

Logitech hat mit der MX Vertical erstmals eine vertikale Maus im Sortiment. Damit werden Nutzer angesprochen, die gesundheitliche Probleme bei der Mausnutzung haben - Schmerzen sollen verringert werden. Das Logitech-Modell muss sich an der deutlich günstigeren Alternative von Anker messen lassen.
Ein Test von Ingo Pakalski

  1. Logitech MX Vertical Ergonomisch geformte Maus soll Handgelenke schonen
  2. Razer Mamba Elite Razer legt seine Mamba erneut mit mehr RGB auf
  3. Logitech G305 Günstige Wireless-Maus mit langer Laufzeit für Gamer

    •  /