• IT-Karriere:
  • Services:

TLS-Zertifikate: Symantec verpeilt es schon wieder

Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

Artikel veröffentlicht am , Hanno Böck
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

Offenbar in einer ganzen Reihe von Fällen hat die Zertifizierungsstelle Symantec unberechtigterweise Test-Zertifikate für diverse Domains erstellt. Das berichtet Andrew Ayer von der Firma SSLMate auf der Security-Policy-Mailingliste von Mozilla. Die Zertifikate fand Ayer über die Logs des Certificate-Transparency-Systems.

Vom Besitzer der Domain nicht beantragte Zertifikate

Stellenmarkt
  1. HALFEN GmbH, Langenfeld
  2. Landkreis Stade, Stade

Im Juli 2016 wurden insgesamt vier Zertifikate für die Domain example.com ausgestellt. Diese Domain wird von der ICANN betrieben. Ayer schreibt, er habe bei der ICANN nachgefragt, die Zertifikate seien nicht von dort beantragt worden. Die example.com-Webseite nutzt ein Zertifikat von Digicert.

Diese vier Zertifikate sind bereits zurückgezogen. Laut Ayer waren sie das bereits, als er darauf stieß. Das könnte Symantec in Erklärungsnot bringen, denn es ist damit anzunehmen, dass man dort bereits über die unberechtigte Ausstellung Bescheid wusste. Falls eine Zertifizierungsstelle fälschlicherweise Zertifikate ausstellt, sollte diese im Normalfall selbst die Öffentlichkeit und die Browserhersteller darüber informieren.

Eine Reihe von weiteren Zertifikaten wurde für diverse Varianten des Wortes "Test" erstellt. So gibt es zahlreiche Zertifikate, die als Organisation und als Ort "Test" eingetragen haben. "Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt", meint Ayer, der jedoch schreibt, dass er in diesen Fällen die Domaininhaber nicht kontaktiert habe.

Einige der betreffenden Zertifikate sind für die Domain test.com ausgestellt, ein Zertifikat enthält die Domainnamen test.com, test1.com bis test9.com und test11.com. Diese Domains gehören fast alle unterschiedlichen Personen, daher ist laut Ayer nicht davon auszugehen, dass die Inhaber dieses Zertifikat beantragt hätten. Auch für diverse andere Domains wurden Zertifikate erstellt, bei denen als Organisation und Ort "Test" eingetragen war.

Weiterhin wurde keines dieser Zertifikate von der Censys-Zertifikatssuchmaschine je auf Webservern in Benutzung gesehen, was ebenfalls deutlich darauf hindeutet, dass es sich nicht um legitime Zertifikate handelt.

Google hat Symantec bereits einmal verwarnt

Für Symantec könnte dieser Vorfall unangenehm werden. Denn die Zertifizierungsstelle steht schon unter besonderer Beobachtung. Im September 2015 hatte Google festgestellt, dass Symantec unberechtigterweise Testzertifikate für google.com ausgestellt hatte. Danach hatte Symantec zunächst versucht, den Vorfall herunterzuspielen und angegeben, dass nur einige wenige Zertifikate versehentlich ausgestellt worden seien. Aus den Certificate-Transparency-Logs ging jedoch hervor, dass deutlich mehr Zertifikate betroffen waren.

Google stellte daraufhin einige Bedingungen an Symantec. So sollte Symantec künftig alle Zertifikate im Certificate-Transparency-Log hinterlegen und außerdem einen zusätzlichen Audit durchführen, der die Arbeitsweisen bei Symantec überprüft. Google-Entwickler Ryan Sleevi kündigte damals bereits an, dass man sich weitere Maßnahmen vorbehalte, wenn weitere Informationen bekannt würden.

Nun wird Symantec erklären müssen, wieso trotz der Vorfälle von 2015 keine Maßnahmen ergriffen wurden, um die Ausstellung von unberechtigten Test-Zertifikaten zu unterbinden.

Wenn eine Zertifizierungsstelle wiederholt Regeln verletzt, können sich die Browserhersteller dazu entschließen, dieser das Vertrauen zu entziehen und ihre Zertifikate künftig nicht mehr akzeptieren. Das ist keine leere Drohung. Zuletzt flogen die Zertifizierungsstellen Wosign und Startcom aus den Browsern - wegen zahlreicher Regelverletzungen, und weil die Verantwortlichen nachweislich mehrfach bei der versuchten Aufklärung gelogen hatten.

Nachtrag vom 23. Januar 2017, 13:20 Uhr

In einer Stellungnahme erklärte Symantec, dass die Zertifikate durch einen Partner ausgestellt wurden und Symantec vor der Mail von Andrew Ayer nichts von dem Vorfall wusste.

Die meisten der Zertifikate waren laut Symantec zu diesem Zeitpunkt bereits zurückgezogen. Alle übrigen Zertifikate habe Symantec innerhalb einer Frist von 24 Stunden ebenfalls zurückgezogen.

Wir haben diese Angaben überprüft. Über die Certificate-Transparency-Logs findet man 114 Zertifikate, die für die Organisation "test" ausgestellt wurden. Diese wurden von vier verschiedenen Zertifizierungsstellen ausgestellt. Davon wurden 62 bereits im Jahr 2016 zurückgezogen. 52 wurden am 20. Januar zurückgezogen, also kurz nach dem Vorfall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1439,90€ (Vergleichspreis: 1530,95€)

My1 23. Jan 2017

https://crt.sh/?o=test&dir=^&sort=2&group=none andere CAs haben scheinbar auch testcerts...

Schattenwerk 22. Jan 2017

Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert...

elf 21. Jan 2017

Startcom!=startssl !

My1 21. Jan 2017

EV Zertifikate sind aufgrund der Grünen Leiste an extrem hohe anforderungen geknüpft. 1...


Folgen Sie uns
       


Pocketalk Übersetzer - Test

Mit dem Pocketalk können wir gesprochene Sätze in eine andere Sprache übersetzen lassen. Im Test funktioniert das gut, allerdings macht Pocketalk auch nicht viel mehr als gängige und kostenlose Übersetzungs-Apps.

Pocketalk Übersetzer - Test Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /