TLS-Zertifikate: Symantec verpeilt es schon wieder

Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

Artikel veröffentlicht am , Hanno Böck
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

Offenbar in einer ganzen Reihe von Fällen hat die Zertifizierungsstelle Symantec unberechtigterweise Test-Zertifikate für diverse Domains erstellt. Das berichtet Andrew Ayer von der Firma SSLMate auf der Security-Policy-Mailingliste von Mozilla. Die Zertifikate fand Ayer über die Logs des Certificate-Transparency-Systems.

Vom Besitzer der Domain nicht beantragte Zertifikate

Stellenmarkt
  1. SAP Business Process Owner Logistics & Quote to Cash (m/w/d)
    Sika Automotive Frankfurt-Worms GmbH, Worms
  2. Cloud DevOps Engineer (m/w/d)
    OEDIV KG, Bielefeld, deutschlandweit
Detailsuche

Im Juli 2016 wurden insgesamt vier Zertifikate für die Domain example.com ausgestellt. Diese Domain wird von der ICANN betrieben. Ayer schreibt, er habe bei der ICANN nachgefragt, die Zertifikate seien nicht von dort beantragt worden. Die example.com-Webseite nutzt ein Zertifikat von Digicert.

Diese vier Zertifikate sind bereits zurückgezogen. Laut Ayer waren sie das bereits, als er darauf stieß. Das könnte Symantec in Erklärungsnot bringen, denn es ist damit anzunehmen, dass man dort bereits über die unberechtigte Ausstellung Bescheid wusste. Falls eine Zertifizierungsstelle fälschlicherweise Zertifikate ausstellt, sollte diese im Normalfall selbst die Öffentlichkeit und die Browserhersteller darüber informieren.

Eine Reihe von weiteren Zertifikaten wurde für diverse Varianten des Wortes "Test" erstellt. So gibt es zahlreiche Zertifikate, die als Organisation und als Ort "Test" eingetragen haben. "Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt", meint Ayer, der jedoch schreibt, dass er in diesen Fällen die Domaininhaber nicht kontaktiert habe.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
Weitere IT-Trainings

Einige der betreffenden Zertifikate sind für die Domain test.com ausgestellt, ein Zertifikat enthält die Domainnamen test.com, test1.com bis test9.com und test11.com. Diese Domains gehören fast alle unterschiedlichen Personen, daher ist laut Ayer nicht davon auszugehen, dass die Inhaber dieses Zertifikat beantragt hätten. Auch für diverse andere Domains wurden Zertifikate erstellt, bei denen als Organisation und Ort "Test" eingetragen war.

Weiterhin wurde keines dieser Zertifikate von der Censys-Zertifikatssuchmaschine je auf Webservern in Benutzung gesehen, was ebenfalls deutlich darauf hindeutet, dass es sich nicht um legitime Zertifikate handelt.

Google hat Symantec bereits einmal verwarnt

Für Symantec könnte dieser Vorfall unangenehm werden. Denn die Zertifizierungsstelle steht schon unter besonderer Beobachtung. Im September 2015 hatte Google festgestellt, dass Symantec unberechtigterweise Testzertifikate für google.com ausgestellt hatte. Danach hatte Symantec zunächst versucht, den Vorfall herunterzuspielen und angegeben, dass nur einige wenige Zertifikate versehentlich ausgestellt worden seien. Aus den Certificate-Transparency-Logs ging jedoch hervor, dass deutlich mehr Zertifikate betroffen waren.

Google stellte daraufhin einige Bedingungen an Symantec. So sollte Symantec künftig alle Zertifikate im Certificate-Transparency-Log hinterlegen und außerdem einen zusätzlichen Audit durchführen, der die Arbeitsweisen bei Symantec überprüft. Google-Entwickler Ryan Sleevi kündigte damals bereits an, dass man sich weitere Maßnahmen vorbehalte, wenn weitere Informationen bekannt würden.

Nun wird Symantec erklären müssen, wieso trotz der Vorfälle von 2015 keine Maßnahmen ergriffen wurden, um die Ausstellung von unberechtigten Test-Zertifikaten zu unterbinden.

Wenn eine Zertifizierungsstelle wiederholt Regeln verletzt, können sich die Browserhersteller dazu entschließen, dieser das Vertrauen zu entziehen und ihre Zertifikate künftig nicht mehr akzeptieren. Das ist keine leere Drohung. Zuletzt flogen die Zertifizierungsstellen Wosign und Startcom aus den Browsern - wegen zahlreicher Regelverletzungen, und weil die Verantwortlichen nachweislich mehrfach bei der versuchten Aufklärung gelogen hatten.

Nachtrag vom 23. Januar 2017, 13:20 Uhr

In einer Stellungnahme erklärte Symantec, dass die Zertifikate durch einen Partner ausgestellt wurden und Symantec vor der Mail von Andrew Ayer nichts von dem Vorfall wusste.

Die meisten der Zertifikate waren laut Symantec zu diesem Zeitpunkt bereits zurückgezogen. Alle übrigen Zertifikate habe Symantec innerhalb einer Frist von 24 Stunden ebenfalls zurückgezogen.

Wir haben diese Angaben überprüft. Über die Certificate-Transparency-Logs findet man 114 Zertifikate, die für die Organisation "test" ausgestellt wurden. Diese wurden von vier verschiedenen Zertifizierungsstellen ausgestellt. Davon wurden 62 bereits im Jahr 2016 zurückgezogen. 52 wurden am 20. Januar zurückgezogen, also kurz nach dem Vorfall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 23. Jan 2017

https://crt.sh/?o=test&dir=^&sort=2&group=none andere CAs haben scheinbar auch testcerts...

Schattenwerk 22. Jan 2017

Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert...

elf 21. Jan 2017

Startcom!=startssl !

My1 21. Jan 2017

EV Zertifikate sind aufgrund der Grünen Leiste an extrem hohe anforderungen geknüpft. 1...



Aktuell auf der Startseite von Golem.de
Pendix eDrive
Ein E-Bike wie kein anderes

Pendix bietet einen Umbausatz, mit dem aus normalen Fahrrädern E-Bikes werden. Nicht ganz billig - aber auf jeden Fall ein Vergnügen.
Ein Test von Martin Wolf

Pendix eDrive: Ein E-Bike wie kein anderes
Artikel
  1. Ryzen und Epyc: 20 Jahre altes ACPI-Workaround in Linux bremst AMD Zen aus
    Ryzen und Epyc
    20 Jahre altes ACPI-Workaround in Linux bremst AMD Zen aus

    Was vor 20 Jahre als Bug-Fix notwendig war, geriet in Vergessenheit und beschränkt nun aktuelle Systeme. Ein Linux-Patch steht bereit.

  2. Effizienter und schneller: Die Bundeswehr wird digitaler
     
    Effizienter und schneller: Die Bundeswehr wird digitaler

    Viele Unternehmen und Organisationen haben erkannt, dass Digitalisierung das Arbeitsleben effizienter machen kann. Bereits auf einem sehr guten Weg ist die Bundeswehr.
    Sponsored Post von BWI

  3. Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
    Ryzen 7950X/7700X im Test
    Brachialer Beginn einer neuen AMD-Ära

    Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
    Ein Test von Marc Sauter und Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) • CyberWeek: PC-Zubehör, Werkzeug & Co. [Werbung]
    •  /