Abo
  • Services:
Anzeige
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

TLS-Zertifikate: Symantec verpeilt es schon wieder

Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben.
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec)

Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

Offenbar in einer ganzen Reihe von Fällen hat die Zertifizierungsstelle Symantec unberechtigterweise Test-Zertifikate für diverse Domains erstellt. Das berichtet Andrew Ayer von der Firma SSLMate auf der Security-Policy-Mailingliste von Mozilla. Die Zertifikate fand Ayer über die Logs des Certificate-Transparency-Systems.

Anzeige

Vom Besitzer der Domain nicht beantragte Zertifikate

Im Juli 2016 wurden insgesamt vier Zertifikate für die Domain example.com ausgestellt. Diese Domain wird von der ICANN betrieben. Ayer schreibt, er habe bei der ICANN nachgefragt, die Zertifikate seien nicht von dort beantragt worden. Die example.com-Webseite nutzt ein Zertifikat von Digicert.

Diese vier Zertifikate sind bereits zurückgezogen. Laut Ayer waren sie das bereits, als er darauf stieß. Das könnte Symantec in Erklärungsnot bringen, denn es ist damit anzunehmen, dass man dort bereits über die unberechtigte Ausstellung Bescheid wusste. Falls eine Zertifizierungsstelle fälschlicherweise Zertifikate ausstellt, sollte diese im Normalfall selbst die Öffentlichkeit und die Browserhersteller darüber informieren.

Eine Reihe von weiteren Zertifikaten wurde für diverse Varianten des Wortes "Test" erstellt. So gibt es zahlreiche Zertifikate, die als Organisation und als Ort "Test" eingetragen haben. "Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt", meint Ayer, der jedoch schreibt, dass er in diesen Fällen die Domaininhaber nicht kontaktiert habe.

Einige der betreffenden Zertifikate sind für die Domain test.com ausgestellt, ein Zertifikat enthält die Domainnamen test.com, test1.com bis test9.com und test11.com. Diese Domains gehören fast alle unterschiedlichen Personen, daher ist laut Ayer nicht davon auszugehen, dass die Inhaber dieses Zertifikat beantragt hätten. Auch für diverse andere Domains wurden Zertifikate erstellt, bei denen als Organisation und Ort "Test" eingetragen war.

Weiterhin wurde keines dieser Zertifikate von der Censys-Zertifikatssuchmaschine je auf Webservern in Benutzung gesehen, was ebenfalls deutlich darauf hindeutet, dass es sich nicht um legitime Zertifikate handelt.

Google hat Symantec bereits einmal verwarnt

Für Symantec könnte dieser Vorfall unangenehm werden. Denn die Zertifizierungsstelle steht schon unter besonderer Beobachtung. Im September 2015 hatte Google festgestellt, dass Symantec unberechtigterweise Testzertifikate für google.com ausgestellt hatte. Danach hatte Symantec zunächst versucht, den Vorfall herunterzuspielen und angegeben, dass nur einige wenige Zertifikate versehentlich ausgestellt worden seien. Aus den Certificate-Transparency-Logs ging jedoch hervor, dass deutlich mehr Zertifikate betroffen waren.

Google stellte daraufhin einige Bedingungen an Symantec. So sollte Symantec künftig alle Zertifikate im Certificate-Transparency-Log hinterlegen und außerdem einen zusätzlichen Audit durchführen, der die Arbeitsweisen bei Symantec überprüft. Google-Entwickler Ryan Sleevi kündigte damals bereits an, dass man sich weitere Maßnahmen vorbehalte, wenn weitere Informationen bekannt würden.

Nun wird Symantec erklären müssen, wieso trotz der Vorfälle von 2015 keine Maßnahmen ergriffen wurden, um die Ausstellung von unberechtigten Test-Zertifikaten zu unterbinden.

Wenn eine Zertifizierungsstelle wiederholt Regeln verletzt, können sich die Browserhersteller dazu entschließen, dieser das Vertrauen zu entziehen und ihre Zertifikate künftig nicht mehr akzeptieren. Das ist keine leere Drohung. Zuletzt flogen die Zertifizierungsstellen Wosign und Startcom aus den Browsern - wegen zahlreicher Regelverletzungen, und weil die Verantwortlichen nachweislich mehrfach bei der versuchten Aufklärung gelogen hatten.

Nachtrag vom 23. Januar 2017, 13:20 Uhr

In einer Stellungnahme erklärte Symantec, dass die Zertifikate durch einen Partner ausgestellt wurden und Symantec vor der Mail von Andrew Ayer nichts von dem Vorfall wusste.

Die meisten der Zertifikate waren laut Symantec zu diesem Zeitpunkt bereits zurückgezogen. Alle übrigen Zertifikate habe Symantec innerhalb einer Frist von 24 Stunden ebenfalls zurückgezogen.

Wir haben diese Angaben überprüft. Über die Certificate-Transparency-Logs findet man 114 Zertifikate, die für die Organisation "test" ausgestellt wurden. Diese wurden von vier verschiedenen Zertifizierungsstellen ausgestellt. Davon wurden 62 bereits im Jahr 2016 zurückgezogen. 52 wurden am 20. Januar zurückgezogen, also kurz nach dem Vorfall.


eye home zur Startseite
My1 23. Jan 2017

https://crt.sh/?o=test&dir=^&sort=2&group=none andere CAs haben scheinbar auch testcerts...

Schattenwerk 22. Jan 2017

Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert...

elf 21. Jan 2017

Startcom!=startssl !

My1 21. Jan 2017

EV Zertifikate sind aufgrund der Grünen Leiste an extrem hohe anforderungen geknüpft. 1...



Anzeige

Stellenmarkt
  1. BENTELER-Group, Düsseldorf
  2. HIT Hanseatische Inkasso-Treuhand GmbH, Hamburg
  3. STAHLGRUBER GmbH, Poing bei München
  4. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 22,99€
  3. 199,99€ - Release 13.10.

Folgen Sie uns
       


  1. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  2. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  3. Oracle

    Java SE 9 und Java EE 8 gehen live

  4. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  5. Streaming

    Update für Fire TV bringt Lupenfunktion

  6. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren

  7. Satellitennavigation

    Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer

  8. VR

    Was HTC, Microsoft und Oculus mit Autos zu tun haben

  9. Razer-CEO Tan

    Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  10. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Wahlprogramm Die PARTEI

    Frittenjay | 15:26

  2. Re: Eltern leben in einer Welt aus Angst

    Bleistiftspitze | 15:25

  3. und die anderen 9?

    Faltopf | 15:25

  4. Wieso das "Minix:" in der Überschrift?

    M.P. | 15:24

  5. Re: Wie konnte die Menschheit nur solange Überleben

    Niaxa | 15:21


  1. 15:30

  2. 15:06

  3. 14:00

  4. 13:40

  5. 13:26

  6. 12:49

  7. 12:36

  8. 12:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel