Überwachung: Aufregung um Intermediate-Zertifikat für Bluecoat
Wie jetzt erst bekanntwurde, hat das umstrittene Überwachungstechnikunternehmen Bluecoat aus den USA von der Sicherheitsfirma Symantec im vergangenen Herbst ein Zertifikat ausgestellt bekommen, mit dem das Unternehmen faktisch als Intermediate-Certificate-Authority handeln könnte, also gültige Zertifikate für HTTPS-Verbindungen ausstellen könnte.
Kritiker befürchten nun, Bluecoat könnte über Man-in-the-Middle-Angriffe mit vertrauten Zertifikaten den eigentlich verschlüsselten Webtraffic von Nutzern mitlesen. Das Unternehmen ist ohnehin umstritten, weil die Deep-Packet-Inspection-Technologie auch in autoritäre Länder wie Syrien verkauft wurde und dort zur Überwachung von Dissidenten genutzt werden kann.
Über das neue Zertifikat hatte zunächst Filippo Valsorda in seinem Blog(öffnet im neuen Fenster) berichtet. Es wurde im vergangenen September ausgestellt. Bislang gibt es keine Hinweise darauf, dass mit dem Zertifikat tatsächlich gültige Zertifikate signiert wurden. Valsorda arbeitet für Cloudflare und hat im Zuge der Heartbleed-Entdeckungen eine Testwebseite aufgesetzt. In dem Blogpost erklärt er auch, wie Nutzer dem Bluecoat-Zertifikat das Vertrauen entziehen können.
Kritiker befürchten Überwachung
Die Befürchtung von Kritikern ist, dass Bluecoat mit dem Intermediate-Zertifikat in die Lage versetzt würde, HTTPS-Verbindungen von Nutzern anzugreifen und so Überwachungsmaßnahmen durchführen könnte. Sowohl Bluecoat als auch Symantec selbst widersprechen dieser Kritik: Das Zertifikat werde von Bluecoat nur zu internen Testzwecken eingesetzt und nicht genutzt, um selbstständig Zertifikate auszustellen.
"In Übereinstimmung mit den Protokollen hatte Symantec zu jeder Zeit die volle Kontrolle über den privaten Schlüssel und Bluecoat hatte niemals Zugriff darauf. Bluecoat hat bestätigt, dass das Zertifikat nur für interne Testzwecke eingesetzt wurde und nicht mehr genutzt wird", heißt es in einem Statement(öffnet im neuen Fenster) der beiden Unternehmen. "Spekulationen" um eine missbräuchliche Nutzung seien aus diesem Grund nicht fundiert.
Nicht nur Bluecoat ist umstritten, auch Symantec musste sich wegen seiner Zertifikatsvergabepraxis schon öffentlich rechtfertigen. Das Unternehmen hatte im vergangenen Jahr mehr als 2.000 TLS-Zertifikate unberechtigt ausgestellt und wurde dafür von Google kritisiert. Google hatte daraufhin eine unabhängige Untersuchung des Vorganges gefordert, außerdem müsse Symantec künftige Zertifikate bei dem Certificate-Transparency-System registrieren.
Nachtrag vom 30. Mai 2016, 13:08 Uhr
Der Einstieg in den Artikel wurde präzisiert.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.