Abo
  • Services:
Anzeige
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

TLS-Zertifikate: Symantec verpeilt es schon wieder

Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

Offenbar in einer ganzen Reihe von Fällen hat die Zertifizierungsstelle Symantec unberechtigterweise Test-Zertifikate für diverse Domains erstellt. Das berichtet Andrew Ayer von der Firma SSLMate auf der Security-Policy-Mailingliste von Mozilla. Die Zertifikate fand Ayer über die Logs des Certificate-Transparency-Systems.

Anzeige

Vom Besitzer der Domain nicht beantragte Zertifikate

Im Juli 2016 wurden insgesamt vier Zertifikate für die Domain example.com ausgestellt. Diese Domain wird von der ICANN betrieben. Ayer schreibt, er habe bei der ICANN nachgefragt, die Zertifikate seien nicht von dort beantragt worden. Die example.com-Webseite nutzt ein Zertifikat von Digicert.

Diese vier Zertifikate sind bereits zurückgezogen. Laut Ayer waren sie das bereits, als er darauf stieß. Das könnte Symantec in Erklärungsnot bringen, denn es ist damit anzunehmen, dass man dort bereits über die unberechtigte Ausstellung Bescheid wusste. Falls eine Zertifizierungsstelle fälschlicherweise Zertifikate ausstellt, sollte diese im Normalfall selbst die Öffentlichkeit und die Browserhersteller darüber informieren.

Eine Reihe von weiteren Zertifikaten wurde für diverse Varianten des Wortes "Test" erstellt. So gibt es zahlreiche Zertifikate, die als Organisation und als Ort "Test" eingetragen haben. "Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt", meint Ayer, der jedoch schreibt, dass er in diesen Fällen die Domaininhaber nicht kontaktiert habe.

Einige der betreffenden Zertifikate sind für die Domain test.com ausgestellt, ein Zertifikat enthält die Domainnamen test.com, test1.com bis test9.com und test11.com. Diese Domains gehören fast alle unterschiedlichen Personen, daher ist laut Ayer nicht davon auszugehen, dass die Inhaber dieses Zertifikat beantragt hätten. Auch für diverse andere Domains wurden Zertifikate erstellt, bei denen als Organisation und Ort "Test" eingetragen war.

Weiterhin wurde keines dieser Zertifikate von der Censys-Zertifikatssuchmaschine je auf Webservern in Benutzung gesehen, was ebenfalls deutlich darauf hindeutet, dass es sich nicht um legitime Zertifikate handelt.

Google hat Symantec bereits einmal verwarnt

Für Symantec könnte dieser Vorfall unangenehm werden. Denn die Zertifizierungsstelle steht schon unter besonderer Beobachtung. Im September 2015 hatte Google festgestellt, dass Symantec unberechtigterweise Testzertifikate für google.com ausgestellt hatte. Danach hatte Symantec zunächst versucht, den Vorfall herunterzuspielen und angegeben, dass nur einige wenige Zertifikate versehentlich ausgestellt worden seien. Aus den Certificate-Transparency-Logs ging jedoch hervor, dass deutlich mehr Zertifikate betroffen waren.

Google stellte daraufhin einige Bedingungen an Symantec. So sollte Symantec künftig alle Zertifikate im Certificate-Transparency-Log hinterlegen und außerdem einen zusätzlichen Audit durchführen, der die Arbeitsweisen bei Symantec überprüft. Google-Entwickler Ryan Sleevi kündigte damals bereits an, dass man sich weitere Maßnahmen vorbehalte, wenn weitere Informationen bekannt würden.

Nun wird Symantec erklären müssen, wieso trotz der Vorfälle von 2015 keine Maßnahmen ergriffen wurden, um die Ausstellung von unberechtigten Test-Zertifikaten zu unterbinden.

Wenn eine Zertifizierungsstelle wiederholt Regeln verletzt, können sich die Browserhersteller dazu entschließen, dieser das Vertrauen zu entziehen und ihre Zertifikate künftig nicht mehr akzeptieren. Das ist keine leere Drohung. Zuletzt flogen die Zertifizierungsstellen Wosign und Startcom aus den Browsern - wegen zahlreicher Regelverletzungen, und weil die Verantwortlichen nachweislich mehrfach bei der versuchten Aufklärung gelogen hatten.

Nachtrag vom 23. Januar 2017, 13:20 Uhr

In einer Stellungnahme erklärte Symantec, dass die Zertifikate durch einen Partner ausgestellt wurden und Symantec vor der Mail von Andrew Ayer nichts von dem Vorfall wusste.

Die meisten der Zertifikate waren laut Symantec zu diesem Zeitpunkt bereits zurückgezogen. Alle übrigen Zertifikate habe Symantec innerhalb einer Frist von 24 Stunden ebenfalls zurückgezogen.

Wir haben diese Angaben überprüft. Über die Certificate-Transparency-Logs findet man 114 Zertifikate, die für die Organisation "test" ausgestellt wurden. Diese wurden von vier verschiedenen Zertifizierungsstellen ausgestellt. Davon wurden 62 bereits im Jahr 2016 zurückgezogen. 52 wurden am 20. Januar zurückgezogen, also kurz nach dem Vorfall.


eye home zur Startseite
My1 23. Jan 2017

https://crt.sh/?o=test&dir=^&sort=2&group=none andere CAs haben scheinbar auch testcerts...

Schattenwerk 22. Jan 2017

Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert...

elf 21. Jan 2017

Startcom!=startssl !

My1 21. Jan 2017

EV Zertifikate sind aufgrund der Grünen Leiste an extrem hohe anforderungen geknüpft. 1...



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. über Hays AG, Mannheim
  3. Rechenzentrum Region Stuttgart GmbH, Stuttgart
  4. THOMAS SABO GmbH & Co. KG, Lauf / Pegnitz


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Dokumentation zum Tor-Netzwerk

    Unaufgeregte Töne inmitten des Geschreis

  2. Patentklage

    Qualcomm will iPhone-Importstopp in Deutschland

  3. Telekom

    Wie viele Bundesfördermittel gehen ins Vectoring?

  4. IETF

    Wie TLS abgehört werden könnte

  5. Recht auf Vergessenwerden

    EuGH entscheidet über weltweite Auslistung von Links

  6. Avast und Piriform

    Ccleaner-Entwickler wird Teil von Avast Software

  7. id Software

    Update 6.66 für Doom enthält Season-Pass-Inhalte

  8. Microsoft

    Kein Windows 10 on ARM für Smartphones

  9. Creoqode 2048 im Test

    Wir programmieren die größte portable Spielkonsole der Welt

  10. Auch Vectoring

    Niedersachsen fördert Internetausbau für 400.000 Haushalte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Re: mit sü

    der_wahre_hannes | 16:31

  2. Re: Katastrophe

    My1 | 16:30

  3. Re: Wir sind doch alle Marsianer!

    Komischer_Phreak | 16:30

  4. Re: Jackpot

    der_wahre_hannes | 16:29

  5. Re: Gibt nur 4 sinnvolle Zahlungsarten...

    Spaghetticode | 16:29


  1. 16:34

  2. 15:44

  3. 15:08

  4. 14:00

  5. 13:15

  6. 12:57

  7. 12:41

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel